Компания Google выпустила обновления безопасности для своего браузера Chrome, чтобы устранить серьёзную уязвимость нулевого дня (Zero-day), которая в настоящий момент активно используется злоумышленниками в реальных атаках. Проблема, обозначенная как CVE-2024-7971, представляет собой ошибку типа “Type Confusion” в движке V8, отвечающем за выполнение JavaScript и WebAssembly.
По данным Национальной базы уязвимостей NIST, проблема позволяет удалённому злоумышленнику вызвать повреждение памяти через специально созданную HTML-страницу. О выявлении проблемы и её характеристиках сообщило подразделение Microsoft, специализирующееся на киберугрозах, 19 августа 2024 года.
Google пока не раскрывает деталей о характере атак или личностях тех, кто мог использовать эту уязвимость. Это делается для того, чтобы большинство пользователей успело обновить свои браузеры до того, как информация станет общедоступной. Однако в заявлении компании подтверждается, что уязвимость уже активно эксплуатируется.
CVE-2024-7971 стала третьей подобной уязвимостью типа “Type Confusion” в V8, исправленной Google в 2024 году, после CVE-2024-4947и CVE-2024-5274. Всего с начала года компания устранила девять уязвимостей нулевого дня в Chrome, некоторые из которых были продемонстрированы на хакерском конкурсе Pwn2Own 2024.
Пользователям настоятельно рекомендуется обновить браузер до версии 128.0.6613.84 для Windows и macOS или до версии 128.0.6613.84 для Linux, чтобы защититься от потенциальных угроз. Владельцам браузеров на основе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также следует установить доступные обновления при их появлении.
Как правило, браузерные обновления устанавливаются автоматически, однако не лишним будет вручную проверить текущую версию используемого ПО. Эти меры помогут минимизировать риски, связанные с уязвимостью, и обезопасить себя от возможных атак.