Noi vulnerabilități identificate în Chrome
Sursă: https://cybersecuritynews.com
Google a lansat o actualizare de securitate critică pentru canalul Chrome Stable, care remediază două vulnerabilități severe care expun utilizatorii la potențiale atacuri de tip denial-of-service (DoS) și executare de cod arbitrar.
Actualizarea aduce versiunea browserului la 144.0.7559.132/.133 pentru Windows și macOS și la 144.0.7559.132 pentru Linux.
Gigantul tehnologic a confirmat că lansarea va avea loc în următoarele zile și săptămâni. Aceste patch-uri vizează în mod specific erorile de corupere a memoriei din motorul JavaScript al browser-ului și din bibliotecile de procesare video.
Actualizarea remediază două vulnerabilități specifice de securitate, ambele clasificate ca având un grad de severitate high. Exploatarea cu succes a acestor vulnerabilități necesită, de obicei, ca utilizatorul să viziteze un site web malițios, ce poate declanșa exploatarea în cadrul procesului de redare al browserului.
Cea mai semnificativă vulnerabilitate, CVE-2026-1862, se află în V8, motorul open-source JavaScript și WebAssembly de înaltă performanță al Google. Vulnerabilitățile de tip type confusion apar atunci când motorul este determinat să acceseze o resursă de memorie utilizând un typ incompatibil, de exemplu, tratând un număr întreg ca un pointer.
Atacatorii exploatează frecvent vulnerabilitățile de tip type confusion din V8 pentru a manipula pointerii de memorie.
A doua vulnerabilitate, CVE-2026-1861, se află în libvpx, biblioteca software de referință pentru formatele de codificare video VP8 și VP9. O eroare de tip heap buffer overflow are loc atunci când un proces încearcă să scrie mai multe date într-un buffer de memorie cu lungime fixă decât poate stoca.
În acest context, un atacator ar putea încorpora un flux video malițios într-o pagină web.Când Chrome încearcă să proceseze acest videoclip folosind libvpx, depășirea capacității ar putea corupe memoria adiacentă din heap. Acest lucru duce de obicei la blocarea browserului (DoS), dar poate fi combinat și cu alte exploatări pentru a realiza executarea codului.
Google nu a dezvăluit dacă aceste exploatări sunt utilizate în prezent în mediul real (stare zero-day), păstrând detaliile despre erori confidențiale până când majoritatea utilizatorilor vor efectua actualizarea.
Cu toate acestea, având în vedere natura vulnerabilităților V8 și heap overflow, riscul de utilizare în scopuri malițioase rămâne ridicat.
Sursă: https://cybersecuritynews.com/chrome-vulnerabilities-arbitrary-code-2/
