Uwaga na Chrome’a! Cztery nowe zero-daye załatane w ciągu dwóch tygodni

Podatność została skategoryzowana jako CVE-2024-5274 i przypisano ją do luk dużej wagi. Opisywana jest jako pomyłka typów w silniku JavaScript i WebAssembly V8. Dodatkowo Google w poradniku internetowym informuje, że istnieje i jest wykorzystywany w atakach exploit dla tej luki.

Firma nie podała żadnych szczegółów na temat samego błędu ani wykorzystania go w środowisku naturalnym, ale wymieniła Clementa Lecigne z Google Threat Analysis Group (TAG) i Brendona Tiszkę z Chrome Security jako odkrywców zero-daya. Za ujawnienie nie zostanie przyznana żadna nagroda typu bug bounty.

Dostawcy oprogramowania do szpiegowania często wykorzystują luki w zabezpieczeniach przeglądarki Chrome. Badacze Google TAG zgłosili wcześniej kilka ataków typu zero-day, które były wykorzystane komercyjnie przez dostawców oprogramowania szpiegującego.

Łata na CVE-2024-5274 jest czwartą poprawką, którą wydano w ciągu ostatnich 15 dni. Google łatało już błędy CVE-2024-4671, CVE-2024-4761 i CVE-2024-4947.

W tym roku Google rozwiązało w sumie osiem dni zerowych przeglądarki Chrome, z czego trzy, mianowicie CVE-2024-2886, CVE-2024-2887 i CVE-2024-3159, zostały zademonstrowane podczas konkursu hakerskiego Pwn2Own Vancouver 2024.

Najnowsza wersja przeglądarki Chrome jest obecnie udostępniana w wersji 125.0.6422.112 dla systemu Linux oraz w wersjach 125.0.6422.112/.113 dla systemów Windows i macOS. Google ogłosiło także wydanie przeglądarki Chrome dla Androida w wersjach 125.0.6422.112/.113 z tymi samymi poprawkami bezpieczeństwa.