Google remediază o vulnerabilitate critică în Chrome

Google și Mozilla au anunțat recent actualizări de securitate pentru browserele lor web Chrome și Firefox, iar unele dintre vulnerabilitățile remediate au un grad mare de severitate.

Google a anunțat lansarea Chrome 130, ce remediază două vulnerabilități.

Una dintre acestea, CVE-2024-10487, a fost descrisă ca fiind o vulnerabilitate critică de tip out-of-bounds write în Dawn, implementarea cross-platform a standardului WebGPU.

Diferite implementări ale API-ului grafic WebGPU sunt utilizate și în Firefox și Safari, dar nu este specificat clar dacă aceste browsere sunt, de asemenea, vulnerabile la CVE-2024-10487.

Deși nu sunt specificate informații suplimentare despre cum poate fi exploatat CVE-2024-10487, în general, o astfel de vulnerabilitate poate duce la executarea de cod arbitrar.

A doua vulnerabilitate remediată odată cu lansarea versiunii Chrome 130 este CVE-2024-10488, o eroare critică de tip use-after-free în WebRTC.

De asemenea, Mozilla a lansat recent versiunile Firefox 132 și Thunderbird 132. Cele mai recente versiuni ale browserului și clientului de e-mail remediază aceleași 11 vulnerabilități, inclusiv două erori cu grad de severitate high.

Una dintre ele, CVE-2024-10458, a fost descrisă ca fiind o vulnerabilitate de tip permission leak ce poate apărea de la un site web de încredere la un site web malițios. A doua vulnerabilitate, CVE-2024-10459, o eroare de tip use-after-free poate duce la blocare (crash) exploatabilă.

Vulnerabilităților rămase le-au fost atribuite grade de severitate medii și scăzute, iar exploatarea acestora poate duce la atacuri de tip spoofing, XSS, DoS, pierderi de date și executare de cod arbitrară.

Sursă: https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple