A Chrome két új Zero-Day-t foltoz be

A Google nemrégiben kijavította a Chrome böngészőjében található, CVE-2024-3159 néven azonosított, nagy súlyú nulladik napi sebezhetőséget, amelyet a Pwn2Own hackerversenyen demonstráltak. Ez a Chrome V8 JavaScript-motorjában található sebezhetőség lehetővé teszi, hogy távoli támadók a HTML-oldalakat kihasználva a tervezett memóriapufferen kívüli adatokhoz férjenek hozzá, ami érzékeny információk kiszivárgásához vagy a böngésző összeomlásához vezethet. A problémát a Palo Alto Networks kutatói, Edouard Bochin és Tao Yan mutatták be, egy kettős érintéses exploitot kihasználva, amely a Google Chrome-ot és a Microsoft Edge-et is érintette, és 42 500 dolláros díjat biztosított számukra. A sebezhetőség javítását a Chrome legújabb stabil csatornán futó frissítéseiben tették elérhetővé.

A CVE-2024-3159 mellett a Google két másik nulladik napi sebezhetőséget is javított, amelyeket ugyanezen a Pwn2Own Vancouver 2024 eseményen mutattak be. Ezek a sebezhetőségek a WebAssembly szabványban hibás típusmegállapítást és a WebCodecs API-ban egy use-after-free problémát tartalmaznak, mindkettő távoli kódfuttatáshoz vezethet. A Google és a Mozilla gyors reakciója e sebezhetőségek javításában ellentétben áll a Pwn2Own felfedezéseinek kezelésében sok gyártóra jellemző késedelemmel, ami a Zero Day Initiative 90 napos nyilvánosságra hozatali határidejének köszönhető. A Google proaktív megközelítése a Chrome és az Android nulladik napi sebezhetőségek elleni védelmében a felhasználók biztonsága iránti elkötelezettségét tükrözi, amit az idén összesen négy Chrome nulladik napi sebezhetőséget javítottak.

(forrás)