Uwaga: Poniższy artykuł pomoże Ci w: Google łata czwarty w tym roku lukę typu zero-day w Chrome
Firma Google wydała awaryjną aktualizację zabezpieczeń, aby załatać aktywnie wykorzystywaną lukę w zabezpieczeniach przeglądarki Chrome zidentyfikowaną jako CVE-2024-4863. Jest to już czwarta luka typu zero-day znaleziona w tej przeglądarce w tym roku.
Spółka wydała komunikat o bezpieczeństwie w poniedziałek, potwierdzając istnienie exploita dla CVE-2024-4863 w środowisku naturalnym. Najnowsza wersja Google Chrome, 116.0.5845.187 dla komputerów Mac i Linux oraz 116.0.5845.187/.188 dla systemu Windows, została udostępniona użytkownikom w kanałach stabilnych Stable i Extended. Oczekuje się, że dotrze ona do całej bazy użytkowników w ciągu najbliższych dni i tygodni.
Użytkownikom zdecydowanie zaleca się jak najszybszą aktualizację przeglądarek internetowych w celu ochrony systemów przed potencjalnymi zagrożeniami związanymi z CVE-2024-4863. Użytkownicy mogą uzyskać dostęp do Menu Chrome > Pomoc > O przeglądarce Google Chrome aby sprawdzić dostępność aktualizacji. Przeglądarka automatycznie wyszuka i zainstaluje aktualizacje po ponownym uruchomieniu.
Luka CVE-2024-4863 jest klasyfikowana jako krytyczna luka typu zero-day i wynika ze słabości związanej z przepełnieniem bufora sterty WebP. Może ona mieć szereg konsekwencji: od awarii systemu po wykonanie dowolnego kodu.
Pierwszymi, którzy 6 września zgłosili ten błąd, były Apple Security Engineering and Architecture (SEAR) oraz The Citizen Lab działający przy Munk School na Uniwersytecie w Toronto. Citizen Lab, znane z wykrywania luk typu zero-day wykorzystywanych w ukierunkowanych atakach szpiegujących przeprowadzanych przez podmioty wspierane przez rządy, często bierze na celownik osoby wysokiego ryzyka, takie jak politycy, dziennikarze i dysydenci na całym świecie.
Google nie ujawniło szczegółowych informacji na temat ataków wykorzystujących lukę CVE-2024-4863. Jednakże stwierdziło, że dostęp do szczegółów błędów i linków może pozostać ograniczony, dopóki większość użytkowników nie otrzyma poprawki. Takie podejście ma na celu uniemożliwienie aktorom zagrożeń rozwijania ich exploitów w oparciu o specyfikę techniczną luki.
„Dostęp do szczegółów błędów i linków może być ograniczony, dopóki większość użytkowników nie otrzyma poprawki” – powiedział Google. „Utrzymamy również ograniczenia, jeśli błąd występuje w bibliotece innej firmy, od której zależą inne projekty, ale której jeszcze nie naprawiliśmy”.
W zeszłym tygodniu Google załatało 33 luki w zabezpieczeniach Androida, w tym lukę typu zero-day. Apple wydało również aktualizacje zabezpieczeń, aby załatać dwie luki typu zero-day, które zostały wykorzystane jako część wyrafinowanego łańcucha exploitów iMessage o nazwie „BLASTPASS”.
Północnokoreański cybernetyczny szpiegostwo ponownie atakuje badaczy bezpieczeństwa
