Срочно обновите Chrome: новый 0day раскрывает конфиденциальные данные

Google выпустила обновления, исправляющие четыре проблемы безопасности в браузере Chrome, включая активно эксплуатируемую уязвимость нулевого дня (zero-day).

Уязвимость CVE-2024-0519 связана с доступом за пределами границ памяти (Out-of-bounds) в механизме JavaScript V8 и WebAssembly, который злоумышленник может использовать, чтобы вызвать сбой системы.

Доступ к памяти за её пределами позволяет атакующему получить конфиденциальные данные, например, адреса памяти, что позволяет обойти механизм защиты ASLR (Address Space Layout Randomization) и повысить вероятность эксплуатации других уязвимостей для выполнения кода, а не просто для отказа в обслуживании (Denial of Service, DoS), как объясняет MITRE.

В описании уязвимости NIST говорится, что доступ к памяти за пределами JavaScript V8 в Google Chrome до версии 120.0.6099.224 позволял удаленному злоумышленнику потенциально использовать повреждение кучи (Heap Corruption) с помощью созданной HTML-страницы.

Дополнительная информация о характере атак и субъектах угроз, которые могут их использовать, не раскрывается в попытке предотвратить дальнейшую эксплуатацию. О проблеме было сообщено анонимно 11 января 2024 года. Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224/225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы снизить потенциальные угрозы. Пользователям браузеров на базе Chromium – Microsoft Edge, Brave, Opera и Vivaldi – также рекомендуется применять исправления по мере их появления.