Уязвимость позволяет запустить цепочку эксплоитов.
Google выпустила обновления, в браузере Chrome, включая активно эксплуатируемую уязвимость нулевого дня ().
Уязвимость связана с доступом за пределами границ памяти () в механизме V8 и WebAssembly, который злоумышленник может использовать, чтобы вызвать сбой системы.
Доступ к памяти за её пределами позволяет атакующему получить конфиденциальные данные, например, адреса памяти, что позволяет обойти механизм защиты (Address Space Layout Randomization) и повысить вероятность эксплуатации других уязвимостей для выполнения кода, а не просто для отказа в обслуживании (Denial of Service, ), как MITRE.
В описании уязвимости NIST говорится, что доступ к памяти за пределами JavaScript V8 в до версии 120.0.6099.224 позволял удаленному злоумышленнику потенциально использовать повреждение кучи () с помощью созданной HTML-страницы.
Дополнительная информация о характере атак и субъектах угроз, которые могут их использовать, не раскрывается в попытке предотвратить дальнейшую эксплуатацию. О проблеме было сообщено анонимно 11 января 2024 года. Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224/225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы снизить потенциальные угрозы. Пользователям браузеров на базе Chromium – Microsoft Edge, Brave, Opera и Vivaldi – также рекомендуется применять исправления по мере их появления.
Подробнее:
Google выпустила обновления, в браузере Chrome, включая активно эксплуатируемую уязвимость нулевого дня ().
Уязвимость связана с доступом за пределами границ памяти () в механизме V8 и WebAssembly, который злоумышленник может использовать, чтобы вызвать сбой системы.
Доступ к памяти за её пределами позволяет атакующему получить конфиденциальные данные, например, адреса памяти, что позволяет обойти механизм защиты (Address Space Layout Randomization) и повысить вероятность эксплуатации других уязвимостей для выполнения кода, а не просто для отказа в обслуживании (Denial of Service, ), как MITRE.
В описании уязвимости NIST говорится, что доступ к памяти за пределами JavaScript V8 в до версии 120.0.6099.224 позволял удаленному злоумышленнику потенциально использовать повреждение кучи () с помощью созданной HTML-страницы.
Дополнительная информация о характере атак и субъектах угроз, которые могут их использовать, не раскрывается в попытке предотвратить дальнейшую эксплуатацию. О проблеме было сообщено анонимно 11 января 2024 года. Пользователям рекомендуется обновить Chrome до версии 120.0.6099.224/225 для Windows, 120.0.6099.234 для macOS и 120.0.6099.224 для Linux, чтобы снизить потенциальные угрозы. Пользователям браузеров на базе Chromium – Microsoft Edge, Brave, Opera и Vivaldi – также рекомендуется применять исправления по мере их появления.
Подробнее:
