Zero day zraniteľnosť Google Chrome

Spoločnosť Google vydala bezpečnostné aktualizácie na opravu jednej zero-day a troch vysoko závažných zraniteľností vo webovom prehliadači Chrome. Zraniteľnosti boli objavené počas hackerskej súťaže Pwn20wn Vancouver 2024.

Zraniteľné systémy:

Google Chrome (Windows/Mac) staršie ako 123.0.6312.105./106/.107, 123.0.6312.105 (Linux)

Opis činnosti:

CVE-2024-3159

Zero day zraniteľnosť CVE-2024-3159 sa nachádza v komponente V8 (nástroj JavaScript) a umožňuje čítať mimo povolené hranice pamäte. Úspešné zneužitie umožňuje vzdialenému útočníkovi získať prístup k citlivým údajom a môže viesť k pádu aplikácie, prostredníctvom poškodenia haldy.

CVE-2024-3156

Vysoko závažná zraniteľnosť CVE-2024-3156 komponentu V8 umožňuje vzdialenému útočníkovi pristupovať mimo povolené hranice pamäte. Chyba sa týka nesprávnej implementácie a úspešné zneužitie je možné prostredníctvom vytvorenia škodlivej HTML stránky. Zraniteľnosť nahlásil Zhenghang Xiao.

CVE-2024-3158

Zraniteľnosť CVE-2024-3158 v module záložiek (Bookmarks) umožňuje použiť dealokované miesto v pamäti prehliadača Chrome. Vďaka nej môže útočník vyvolať poškodenie haldy pomocou škodlivej HTML stránky. Na chybu poukázal undoingfish.

Závažnosť zraniteľnosti: Kritická

Možné škody:

• Pád aplikácie
• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Google Chrome pre Windows/Mac aspoň na verziu 123.0.6312.106/.107 a Linux aspoň na verziu 123.0.6312.105 .

Odkazy:

https://www.bleepingcomputer.com/news/security/google-fixes-one-more-chrome-zero-day-exploited-at-pwn2own/

https://securityaffairs.com/161445/hacking/google-chrome-zero-day-pwn2own.html

https://cybersecuritynews.com/chrome-zero-day-exploit-patch/

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

https://nvd.nist.gov/vuln/detail/CVE-2024-3158

https://nvd.nist.gov/vuln/detail/CVE-2024-3156