Google je objavio kritičnu sigurnosnu nadogradnju za svoj Chrome pretraživač, rješavajući nekoliko ranjivosti , uključujući dvije velike greške tipa konfuzije u V8 JavaScript motoru.
Ažuriranje, koje dovodi Chrome do verzije 129.0.6668.100/.101 za Windows i Mac i 129.0.6668.100 za Linux, uključuje tri sigurnosne ispravke koje su doprinijeli vanjski istraživači.
Najozbiljnije ranjivosti, CVE-2024-9602 i CVE-2024-9603, su nedostaci zabune tipova u V8, koji, ako se iskoriste, mogu omogućiti proizvoljno izvršavanje koda .
Šta je konfuzija tipa?
Do zabune u tipu dolazi kada se pristupa resursu s nekompatibilnim tipom, što uzrokuje neočekivano ponašanje i sigurnosne rizike.
Ova ranjivost se može manifestovati u aplikacijama koje različito tumače istu varijablu ili memorijsku lokaciju, uključujući jezike kao što su PHP i Perl.
Napadači mogu iskoristiti zbrku u tipu za oštećenje memorije i izvršavanje proizvoljnog koda.
Ove ranjivosti su prijavili Seunghyun Lee (@0x10n) i @WeShotTheMoon i @Nguyen Hoang Thach iz Starlabsa, respektivno, i ocijenjene su kao visoke ozbiljnosti zbog njihovog potencijalnog uticaja na povjerljivost i integritet sistema.
Google je sakrio sve tehničke detalje ovih ranjivosti sve dok većina korisnika ne ažurira na najnoviju verziju Chromea, kako bi spriječio eksploataciju u divljini.
Međutim, kompanija je naglasila važnost ažuriranja na najnoviju verziju što je prije moguće kako bi se osigurala zaštita od ovih prijetnji.
Ažuriranje takođe uključuje različite popravke iz internih revizija, fuzzing i drugih inicijativa, koje su otkrivene pomoću alata kao što su AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer ili AFL.
Da ažuriraju Chrome, korisnici mogu otići do opcije Help|About u meniju, koja će automatski započeti preuzimanje najnovije verzije ako je dostupna. Ključno je ponovo pokrenuti pretraživač nakon instaliranja ažuriranja kako biste bili sigurni da su primijenjene nove sigurnosne zakrpe.
S obzirom na raširenu upotrebu Chrome-a, sa otprilike 3,45 milijardi korisnika, od suštinskog je značaja za pojedince i organizacije da brzo ažuriraju svoje preglednike kako bi se zaštitili od potencijalnih povreda podataka i drugih rizika u vezi s cyber sigurnošću.
Izvor: CyberSecurityNews