Vandaag heeft Google een nieuwe noodbeveiligingsupdate voor Chrome uitgebracht om een zero-day-kwetsbaarheid te patchen die is gemarkeerd als gebruikt in aanvallen.

“Google is zich ervan bewust dat een exploit voor CVE-2024-7971 in het wild bestaat,” zei het bedrijf in een advies dat woensdag werd gepubliceerd.

Deze zero-day-kwetsbaarheid met hoge ernst wordt veroorzaakt door een typeverwarring in de V8 JavaScript-motor van Chrome. Veiligheidsonderzoekers van het Microsoft Threat Intelligence Center (MSTIC) en Microsoft Security Response Center (MSRC) meldden dit maandag.

Hoewel dergelijke beveiligingsfouten aanvallers vaak in staat stellen browsercrashes te veroorzaken nadat gegevens in het geheugen als een ander type worden geïnterpreteerd, kunnen ze ook misbruikt worden voor willekeurige code-uitvoering op doelapparaten met niet-gepatchte browsers.

Google heeft de zero-day opgelost met de release van 128.0.6613.84/.85 voor Windows/macOS en 128.0.6613.84 (Linux), versies die de komende weken zullen worden uitgerold naar alle gebruikers in het Stable Desktop-kanaal.

Hoewel Chrome automatisch bijwerkt wanneer er beveiligingspatches beschikbaar zijn, kunnen gebruikers het proces ook versnellen door naar het Chrome-menu te gaan > Help > Over Google Chrome, de update te laten voltooien en op de knop ‘Opnieuw starten’ te klikken om het te installeren.

De update van vandaag was direct beschikbaar toen BleepingComputer vandaag naar nieuwe updates zocht.

Hoewel Google bevestigde dat de CVE-2024-7971-kwetsbaarheid werd gebruikt in aanvallen, heeft het bedrijf nog geen aanvullende informatie gedeeld over de exploitatie in het wild.

“Toegang tot foutdetails en links kan beperkt blijven totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing,” zei Google.

“We zullen ook beperkingen handhaven als het probleem zich voordoet in een bibliotheek van derden waar andere projecten eveneens afhankelijk van zijn, maar die nog niet zijn opgelost.”

CVE-2024-7971 is de negende actief uitgebuite Chrome zero-day die door Google is gepatcht in 2024, met de volledige lijst van dit jaar opgeloste zero-days inclusief:

• CVE-2024-0519: Een uitermate ernstige geheugenfout buiten de grenzen binnen de Chrome V8 JavaScript-motor, waardoor externe aanvallers heapcorruptie kunnen exploiteren via een speciaal vervaardigde HTML-pagina, wat leidt tot ongeautoriseerde toegang tot gevoelige informatie.
• CVE-2024-2887: Een ernstig typeverwarringsfout in de WebAssembly (Wasm)-standaard. Het kan leiden tot exploits voor externe code-uitvoering (RCE) door middel van een vervaardigde HTML-pagina.
• CVE-2024-2886: Een use-after-free-kwetsbaarheid in de WebCodecs API die door webapplicaties wordt gebruikt om audio en video te encoderen en decoderen. Externe aanvallers hebben het geëxploiteerd om willekeurige lezen en schrijven uit te voeren via vervaardigde HTML-pagina’s, wat leidt tot externe code-uitvoering.
• CVE-2024-3159: Een ernstige kwetsbaarheid veroorzaakt door een lezen buiten de grenzen in de Chrome V8 JavaScript-motor. Externe aanvallers hebben deze fout geëxploiteerd met behulp van speciaal vervaardigde HTML-pagina’s om toegang te krijgen tot gegevens buiten de gereserveerde geheugenbuffer, wat resulteerde in heapcorruptie die kon worden gebruikt om gevoelige informatie te extraheren.
• CVE-2024-4671: Een ernstige use-after-free-fout in de Visuals-component die het renderen en weergeven van inhoud in de browser afhandelt.
• CVE-2024-4761: Een probleem met buiten grenzen schrijven in de V8 JavaScript-motor van Chrome, die verantwoordelijk is voor het uitvoeren van JS-code in de applicatie.
• CVE-2024-4947: Typeverwarringsfout in de V8 JavaScript-motor van Chrome waardoor willekeurige code-uitvoering op het doelapparaat mogelijk is.
• CVE-2024-5274: Een typeverwarring in de V8 JavaScript-motor van Chrome die kan leiden tot crashes, gegevenscorruptie of willekeurige code-uitvoering