Af Eskil Sørensen, 15/05/24
Blot tre dage efter seneste sikkerhedsopdatering fra Google, sendes der en ny på gaden til håndtering af en 0-dagssårbarhed i Chrome. Der er tale om den sjette 0-dag i 2024, som er under udnyttelse.
Det skriver Security Affairs og en række andre medier.
Sårbarheden har id’et CVE-2024-4761 og scoren ”høj” af Google. Det er en ”out-of-bounds-write” sårbarhed i Google's open source V8 JavaScript and WebAssembly motor, der også påvirker Chrome.
Den gør det muligt for en fjernangriber, der har kompromitteret gengivelsesprocessen, at udføre en såkaldt ”sandbox-escape”. Det betyder i korte træk, at man kan bevæge sig ud over browserfanen og gå til til andre webapps eller netværket via en udformet HTML-side.
Den nye version af Chrome installeres automatisk i de kommende uger, men som altid kan brugere selv installere opdateringerne ved at gå til Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den efter en genstart.
Links:
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-u...
https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve....
https://www.darkreading.com/vulnerabilities-threats/dangerous-google-chr...
https://www.securityweek.com/google-patches-second-chrome-zero-day-in-on...
https://securityaffairs.com/163136/hacking/6th-chrome-zero-day-2024.html
https://www.malwarebytes.com/blog/news/2024/05/update-chrome-now-google-...