Google випустила критичне оновлення безпеки для свого популярного браузера Chrome, спрямоване на усунення серйозної вразливості нульового дня. Ця вразливість, яка вже активно експлуатувалася зловмисниками, стала дев’ятою вразливістю нульового дня, виявленою в Chrome з початку 2024 року, що підкреслює постійні виклики у сфері кібербезпеки.
Деталі вразливості та її потенційні наслідки
Вразливість, зареєстрована під ідентифікатором CVE-2024-7971, була виявлена в JavaScript-рушії V8, який є ключовим компонентом браузера Chrome. Фахівці з Microsoft Threat Intelligence Center (MSTIC) та Microsoft Security Response Center (MSRC) ідентифікували цю проблему як вразливість типу “type confusion”. Хоча повні технічні деталі ще не розкриті, такі вразливості зазвичай можуть призвести до збоїв у роботі браузера або, що ще гірше, дозволити зловмисникам виконувати довільний код на цільових пристроях.
Швидка реакція Google та випуск патча
Реагуючи на цю загрозу, Google оперативно випустила оновлення для Chrome. Патч включено до версій 128.0.6613.84/.85 для Windows та macOS, а також до версії 128.0.6613.84 для Linux. Компанія планує поширити ці оновлення серед усіх користувачів Chrome протягом найближчих тижнів, що підкреслює важливість своєчасного оновлення браузера.
Додаткові покращення безпеки
Крім усунення вразливості нульового дня, останнє оновлення Chrome також вирішує низку інших проблем безпеки, зокрема:
- Вразливість типу “use-after-free” у модулі паролів
- Проблема “out-of-bounds” у компоненті Skia
- Переповнення буфера купи у модулі шрифтів
- Ще одна вразливість “use-after-free” у функції автозаповнення
Ці додаткові виправлення демонструють комплексний підхід Google до забезпечення безпеки своїх користувачів, охоплюючи різні аспекти функціональності браузера.
Програма винагород за виявлення вразливостей
Google продовжує активно заохочувати дослідників безпеки до виявлення та повідомлення про вразливості. За повідомленням компанії, дослідники, які виявили ці проблеми, отримали винагороди на загальну суму 95 000 доларів. Найбільша винагорода у розмірі 36 000 доларів була присуджена анонімному спеціалісту за виявлення вразливості “use-after-free” у модулі паролів (CVE-2024-7964). Ця практика не лише стимулює пошук вразливостей, але й сприяє зміцненню загальної безпеки екосистеми Chrome.
Враховуючи серйозність виявленої вразливості нульового дня та її активне використання зловмисниками, користувачам Chrome наполегливо рекомендується негайно оновити свої браузери до останньої версії. Регулярне оновлення програмного забезпечення залишається одним з найефективніших методів захисту від кіберзагроз. Крім того, ця ситуація нагадує про важливість постійної пильності та дотримання базових правил кібергігієни для всіх користувачів інтернету.
