Menu dostępności

Uwaga na Chrome’a! Cztery nowe zero-daye załatane w ciągu dwóch tygodni

W czwartek 23 maja Google udostępniło nową aktualizację przeglądarki Chrome. Ma ona oczywiście usunąć kolejną lukę. Jest to czwarta podatność typu zero-day łatana w ciągu dwóch tygodni – całkiem sporo tych aktualizacji. Kiedyś zastanawialiśmy się nawet, czy korzystanie z Chrome’a jest bezpieczne. Zachęcamy do odświeżenia tej wiedzy tutaj.

Podatność została skategoryzowana jako CVE-2024-5274 i przypisano ją do luk dużej wagi. Opisywana jest jako pomyłka typów w silniku JavaScript i WebAssembly V8. Dodatkowo Google w poradniku internetowym informuje, że istnieje i jest wykorzystywany w atakach exploit dla tej luki.

Firma nie podała żadnych szczegółów na temat samego błędu ani wykorzystania go w środowisku naturalnym, ale wymieniła Clementa Lecigne z Google Threat Analysis Group (TAG) i Brendona Tiszkę z Chrome Security jako odkrywców zero-daya. Za ujawnienie nie zostanie przyznana żadna nagroda typu bug bounty.

Dostawcy oprogramowania do szpiegowania często wykorzystują luki w zabezpieczeniach przeglądarki Chrome. Badacze Google TAG zgłosili wcześniej kilka ataków typu zero-day, które były wykorzystane komercyjnie przez dostawców oprogramowania szpiegującego.

Łata na CVE-2024-5274 jest czwartą poprawką, którą wydano w ciągu ostatnich 15 dni. Google łatało już błędy CVE-2024-4671, CVE-2024-4761 i CVE-2024-4947.

W tym roku Google rozwiązało w sumie osiem dni zerowych przeglądarki Chrome, z czego trzy, mianowicie CVE-2024-2886, CVE-2024-2887 i CVE-2024-3159, zostały zademonstrowane podczas konkursu hakerskiego Pwn2Own Vancouver 2024.

Najnowsza wersja przeglądarki Chrome jest obecnie udostępniana w wersji 125.0.6422.112 dla systemu Linux oraz w wersjach 125.0.6422.112/.113 dla systemów Windows i macOS. Google ogłosiło także wydanie przeglądarki Chrome dla Androida w wersjach 125.0.6422.112/.113 z tymi samymi poprawkami bezpieczeństwa.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...