Google выпускает исправление для третьей нулевой дыры в Chrome за неделю

298

Google выпустила исправление для третьей уязвимости в Chrome за неделю

Компания Google сообщила о существовании эксплойта для CVE-2024-4947, который уже активно используется. Как обычно, она не предоставила никаких подробностей об уязвимости, кроме “Type Confusion in V8”. Это означает, что уязвимость вызвана слабым местом типа конфузии в Chrome V8 Javascript Engine.

Согласно объяснению на CWE.org, продукт выделяет или инициализирует ресурс, такой как указатель, объект или переменную, используя один тип, но затем обращается к этому ресурсу с использованием типа, несовместимого с первоначальным типом.

11 мая Google выпустила исправление для нулевого дня, CVE-2024-4671, который уже использовался злоумышленниками. Доступ к деталям о третьей серьезной ошибке, CVE-2024-4948, заблокирован.

Неизвестность Google (и Apple) в предоставлении дополнительных деталей о серьезных уязвимостях часто оправдывается на предполагаемой почве того, что это может помочь злоумышленникам создавать код для использования этих уязвимостей. Но это в основном выдвигаемый аргумент, так как атакующие обычно знают о слабостях программного обеспечения и способах его атаки намного раньше, чем компании.

В своем сообщении Google говорит: “Доступ к деталям ошибки и ссылкам может оставаться ограниченным, пока большинство пользователей не обновятся исправлением. Мы также будем сохранять ограничения, если ошибка существует в сторонней библиотеке, от которой зависят другие проекты, но которые еще не исправлены”.

Компания призывает пользователей обновлять свои браузеры Chrome, чтобы защитить свои данные и информацию от возможных атак.
Оригинальная новость на сайте