W czwartek 23 maja Google udostępniło nową aktualizację przeglądarki Chrome. Ma ona oczywiście usunąć kolejną lukę. Jest to czwarta podatność typu zero-day łatana w ciągu dwóch tygodni – całkiem sporo tych aktualizacji. Kiedyś zastanawialiśmy się nawet, czy korzystanie z Chrome’a jest bezpieczne. Zachęcamy do odświeżenia tej wiedzy tutaj.
Podatność została skategoryzowana jako CVE-2024-5274 i przypisano ją do luk dużej wagi. Opisywana jest jako pomyłka typów w silniku JavaScript i WebAssembly V8. Dodatkowo Google w poradniku internetowym informuje, że istnieje i jest wykorzystywany w atakach exploit dla tej luki.
Firma nie podała żadnych szczegółów na temat samego błędu ani wykorzystania go w środowisku naturalnym, ale wymieniła Clementa Lecigne z Google Threat Analysis Group (TAG) i Brendona Tiszkę z Chrome Security jako odkrywców zero-daya. Za ujawnienie nie zostanie przyznana żadna nagroda typu bug bounty.
Dostawcy oprogramowania do szpiegowania często wykorzystują luki w zabezpieczeniach przeglądarki Chrome. Badacze Google TAG zgłosili wcześniej kilka ataków typu zero-day, które były wykorzystane komercyjnie przez dostawców oprogramowania szpiegującego.
Łata na CVE-2024-5274 jest czwartą poprawką, którą wydano w ciągu ostatnich 15 dni. Google łatało już błędy CVE-2024-4671, CVE-2024-4761 i CVE-2024-4947.
W tym roku Google rozwiązało w sumie osiem dni zerowych przeglądarki Chrome, z czego trzy, mianowicie CVE-2024-2886, CVE-2024-2887 i CVE-2024-3159, zostały zademonstrowane podczas konkursu hakerskiego Pwn2Own Vancouver 2024.
Najnowsza wersja przeglądarki Chrome jest obecnie udostępniana w wersji 125.0.6422.112 dla systemu Linux oraz w wersjach 125.0.6422.112/.113 dla systemów Windows i macOS. Google ogłosiło także wydanie przeglądarki Chrome dla Androida w wersjach 125.0.6422.112/.113 z tymi samymi poprawkami bezpieczeństwa.