CVE-2024-7965: Google закрыла 10-ю уязвимость нулевого дня в 2024

Google объявила о выпуске обновления, закрывающего десятую уязвимость нулевого дня, активно эксплуатировавшуюся злоумышленниками или белыми хакерами в рамках соревнований в 2024 году.

CVE-2024-7965 (оценка CVSS: 8.8) представляет собой ошибку в реализации движка V8 для JavaScript в браузере Google Chrome. Ошибка позволяла удалённому злоумышленнику использовать специально созданную HTML-страницу для повреждения кучи (heap corruption), что потенциально открывало доступ к выполнению вредоносного кода на целевом устройстве.

Информация об уязвимости была включена в обновление блога Google, где ранее сообщалось о закрытии другой уязвимости нулевого дня CVE-2024-7971 (оценка CVSS: 8.8), связанной с путаницей типов (type confusion) в том же движке V8. В новой записи Google отметила, что компания знает о наличии эксплойтов для CVE-2024-7971 и CVE-2024-7965.

Обе уязвимости были устранены в версии Chrome 128.0.6613.84/.85 для Windows и macOS, а также в версии 128.0.6613.84 для пользователей Linux. Обновления стали доступны всем пользователям стабильной версии для ПК.

Несмотря на автоматическое обновление браузера при выпуске испарвлений, пользователи могут ускорить процесс установки вручную, открыв меню Chrome > Справка > О Google Chrome, дождаться завершения обновления и нажать кнопку «Перезапустить», чтобы применить изменения.

Хотя Google подтвердила наличие уязвимостей CVE-2024-7971 и CVE-2024-7965, компания пока не предоставила дополнительных подробностей о характере атак, в которых они использовались. Google также уточнила, что доступ к деталям ошибок и соответствующим ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои системы с установленным исправлением. Вдобавок, ограничения могут сохраняться, если уязвимость присутствует в сторонней библиотеке, от которой зависят другие проекты и которая пока не была исправлена.