Zero-day zraniteľnosť v Google Chrome

Google vydal neočakávanú bezpečnostnú aktualizáciu pre aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2024-0519 je aktívne zneužívaná a môže viesť k vzdialenému vykonávaniu kódu.

Zraniteľné systémy:

• Google Chrome verzie staršie ako 120.0.6099.224

Opis činnosti:

CVE-2024-0519 (CVSS skóre 8,8)

Zero-day zraniteľnosť CVE-2024-0519 sa nachádza v komponente V8 v Google Chrome a umožňuje pristupovať mimo povolené hodnoty pamäte. Vzdialeným útočníkom umožňuje napríklad pomocou škodlivej HTML stránky zneužiť poškodenie pamäte na halde. Vo všeobecnosti úspešné zneužitie chyby dovoľujúcej prístup mimo povolené hodnoty v pamäti umožňuje podľa identifikátora CWE získať adresy pamäte, ktoré môžu byť použité pre obídenie ochranných mechanizmov (ASLR) na dosiahnutie vzdialeného vykonávania kódu alebo nedostupnosti služby. ASLR je proces ochrany pamäte pred útokmi typu buffer-overflow (pretečenia medzipamäte), ktorý randomizuje umiestnenie určitých dát v pamäti.

Zraniteľnosť je aktívne zneužívaná.

Závažnosť zraniteľnosti: Kritická

Možné škody:

• Vzdialené vykonávanie kódu
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Chrome aspoň na verziu 120.0.6099.224/225 pre Windows, 120.0.6099.234 pre macOS a 120.0.6099.224 pre Linux alebo novšiu.

Odkazy:

• https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html
• https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html
• https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/
• https://nvd.nist.gov/vuln/detail/CVE-2024-0519
• https://www.techtarget.com/searchsecurity/definition/address-space-layout-randomization-ASLR