Google heeft dinsdag updates uitgebracht om vier beveiligingsproblemen in de Chrome-browser op te lossen, waaronder een zero-day-kwetsbaarheid die actief is uitgebuit.
Het geval als volgt CVE-2024-0519Dit gaat over geheugentoegang buiten het bereik in de V8 JavaScript- en WebAssembly-engine, die door bedreigingsactoren kan worden bewapend om de crash te veroorzaken.
“Door het geheugen dat buiten het bereik valt te lezen, kan een aanvaller geheime waarden verkrijgen, zoals geheugenadressen, die beveiligingsmechanismen zoals ASLR kunnen omzeilen om de betrouwbaarheid te verbeteren en mogelijk een afzonderlijke kwetsbaarheid te misbruiken om code-uitvoering te bewerkstelligen in plaats van simpelweg denial of service”, staat er. Om veelvoorkomende kwetsbaarheden in MITRE op te sommen (CWE).
Aanvullende details over de aard van de aanvallen en over welke actoren deze kunnen exploiteren zijn achtergehouden in een poging verdere uitbuiting te voorkomen. Het probleem werd anoniem gemeld op 11 januari 2024.
“Out-of-bound geheugentoegang in V8 in Google Chrome vóór 120.0.6099.224 stelde een aanvaller op afstand in staat heap-corruptie te misbruiken via een vervaardigde HTML-pagina”, luidde het bericht. Beschrijving van het defect In de Nationale Kwetsbaarheidsdatabase (NVD) van NIST.
Deze ontwikkeling markeert de eerste actieve zero-day-exploit die in 2024 door Google in Chrome wordt gepatcht. Vorig jaar heeft de technologiegigant in totaal acht actieve zero-day-exploits in de browser opgelost.
Gebruikers wordt geadviseerd om te upgraden naar Chrome-versie 120.0.6099.224/225 voor Windows, 120.0.6099.234 voor macOS en 120.0.6099.224 voor Linux om potentiële bedreigingen te beperken.
Gebruikers van Chromium-gebaseerde browsers zoals Microsoft Edge, Brave, Opera en Vivaldi worden ook aangemoedigd om oplossingen toe te passen zodra deze beschikbaar komen.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”