Google remediază zero-day-urile din Chrome exploatate în cadrul Pwn2Own 2024

Google a remediat recent șapte vulnerabilități de securitate în browserul web Chrome, inclusiv două zero-day-uri exploatate în timpul competiției de hacking Pwn2Own Vancouver 2024.

Prima (urmărită ca CVE-2024-2887) este o vulnerabilitate cu grad de severitate high de tip type confusion în standardul WebAssembly (Wasm). O demonstrație a vulnerabilității a fost făcută în prima zi a Pwn2Own ca parte a unui exploit de executare de cod de la distanță (RCE) cu două accesări, folosind o pagină HTML malițioasă și vizând atât Chrome, cât și Edge.

Cea de-a doua vulnerabilitate de tip zero-day este urmărită ca CVE-2024-2886 și a fost exploatată în timpul celei de-a doua zile a concursului CanSecWest Pwn2Own.

Descrisă ca fiind o vulnerabilitate de tip use-after-free (UAF) în API-ul WebCodecs utilizat de aplicațiile web pentru a codifica și decodifica conținut audio și video, aceasta permite atacatorilor de la distanță să efectueze citiri/scrieri arbitrare prin intermediul unor pagini HTML malițioase.

Google a remediat cele două zero-day în Google Chrome versiunea 123.0.6312.86/.87 pentru Windows și Mac și 123.0.6312.86 pentru utilizatorii de Linux, care va fi distribuit la nivel mondial în zilele următoare.

În ianuarie, Google a remediat, de asemenea, un zero-day exploatat activ în Chrome (CVE-2024-0519), care permitea atacatorilor să acceseze informații sensibile sau să blocheze browsere neprotejate din cauza unei vulnerabilități de tip out-of-bounds memory access în motorul JavaScript Chrome V8.

Sursă: https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/