CVE-2024-7971: 0day позволяет получить полный контроль над системой жертвы

Компания Google выпустила обновления безопасности для своего браузера Chrome, чтобы устранить серьёзную уязвимость нулевого дня (Zero-day), которая в настоящий момент активно используется злоумышленниками в реальных атаках. Проблема, обозначенная как CVE-2024-7971, представляет собой ошибку типа «Type Confusion» в движке V8, отвечающем за выполнение JavaScript и WebAssembly.

По данным Национальной базы уязвимостей NIST, проблема позволяет удалённому злоумышленнику вызвать повреждение памяти через специально созданную HTML-страницу. О выявлении проблемы и её характеристиках сообщило подразделение Microsoft, специализирующееся на киберугрозах, 19 августа 2024 года.

Google пока не раскрывает деталей о характере атак или личностях тех, кто мог использовать эту уязвимость. Это делается для того, чтобы большинство пользователей успело обновить свои браузеры до того, как информация станет общедоступной. Однако в заявлении компании подтверждается, что уязвимость уже активно эксплуатируется.

CVE-2024-7971 стала третьей подобной уязвимостью типа «Type Confusion» в V8, исправленной Google в 2024 году, после CVE-2024-4947 и CVE-2024-5274. Всего с начала года компания устранила девять уязвимостей нулевого дня в Chrome, некоторые из которых были продемонстрированы на хакерском конкурсе Pwn2Own 2024.

Пользователям Chrome на Windows, Linux и macOS настоятельно рекомендуется обновить свои браузеры до версии 128.0.6613.84, чтобы защититься от потенциальных угроз. Владельцам браузеров на основе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также следует установить доступные обновления при их появлении.

Как правило, браузерные обновления устанавливаются автоматически, однако не лишним будет вручную проверить текущую версию используемого ПО. Эти меры помогут минимизировать риски, связанные с уязвимостью, и обезопасить себя от возможных атак.