Vandaag onthulde Google dat het het tiende zero-day lek in 2024 heeft gepatcht dat door aanvallers of beveiligingsonderzoekers tijdens hackingwedstrijden in het wild werd geëxploiteerd.

Geregistreerd als CVE-2024-7965 en gerapporteerd door een beveiligingsonderzoeker die alleen bekend staat als TheDog, wordt de nu gepatchte kwetsbaarheid met hoge ernst beschreven als een ongepaste implementatie in de V8 JavaScript-engine van Google Chrome, die externe aanvallers in staat kan stellen heap-corruptie uit te buiten via een speciaal vervaardigde HTML-pagina.

Dit werd aangekondigd in een update van een blogpost waarin het bedrijf vorige week onthulde dat het een ander zero-day lek met hoge ernst had gerepareerd (CVE-2024-7971) dat werd veroorzaakt door een type verwarring zwakte in V8.

“Bijgewerkt op 26 augustus 2024 om de exploitatie van CVE-2024-7965 in het wild te weerspiegelen, die werd gerapporteerd na deze release,” zei het bedrijf in de update van vandaag. “Google is zich ervan bewust dat exploits voor CVE-2024-7971 en CVE-2024-7965 in het wild bestaan.”

Google heeft beide zero-days verholpen in Chrome versie 128.0.6613.84/.85 voor Windows/macOS-systemen en versie 128.0.6613.84 voor Linux-gebruikers, die sinds woensdag zijn uitgerold naar alle gebruikers in het Stable Desktop-kanaal.

Hoewel Chrome automatisch zal updaten wanneer beveiligingspatches beschikbaar zijn, kun je dit proces ook versnellen en de updates handmatig toepassen door naar het Chrome-menu te gaan > Help > Over Google Chrome, de update te laten voltooien en de knop ‘Opnieuw opstarten’ te klikken om het te installeren.

Hoewel Google heeft bevestigd dat de kwetsbaarheden CVE-2024-7971 en CVE-2024-7965 in het wild zijn gebruikt, moet het nog meer informatie over deze aanvallen delen.

“Toegang tot foutdetails en links kan beperkt blijven totdat de meerderheid van de gebruikers is bijgewerkt met een oplossing,” zegt Google.

“We zullen ook beperkingen handhaven als de fout bestaat in een bibliotheek van derden waar andere projecten op soortgelijke wijze van afhankelijk zijn, maar die nog niet zijn gerepareerd.”

Sinds het begin van het jaar heeft Google acht andere zero-days gepatcht die werden geëxploiteerd in aanvallen of tijdens de Pwn2Own-hackwedstrijd:

• CVE-2024-0519: Een zwakte met hoge ernst door out-of-bounds-geheugentoegang in de V8 JavaScript-engine van Chrome, waardoor externe aanvallers heap-corruptie kunnen exploiteren via een speciaal vervaardigde HTML-pagina, wat leidt tot ongeautoriseerde toegang tot gevoelige informatie.
• CVE-2024-2887: Een type verwarring fout met hoge ernst in de WebAssembly (Wasm) standaard. Het zou kunnen leiden tot remote code execution (RCE) exploits met behulp van een speciaal vervaardigde HTML-pagina.
• CVE-2024-2886: Een use-after-free kwetsbaarheid in de WebCodecs API die door webapplicaties wordt gebruikt om audio en video te coderen en decoderen. Externe aanvallers exploiteerden het om willekeurige lees- en schrijfbehandelingen uit te voeren via speciaal vervaardigde HTML-pagina’s, wat leidde tot remote code execution.
• CVE-2024-3159: Een zwakte met hoge ernst veroorzaakt door een out-of-bounds-leesfout in de V8 JavaScript-engine van Chrome. Externe aanvallers exploiteerden deze fout met behulp van speciaal vervaardigde HTML-pagina’s om toegang te krijgen tot gegevens buiten de toegewezen geheugenbuffer, wat resulteerde in heap-corruptie die kon worden gebruikt om gevoelige informatie te extraheren.
• CVE-2024-4671: Een use-after-free fout met hoge ernst in de Visuals component die verantwoordelijk is voor het weergeven van inhoud in de browser.
• CVE-2024-4761: Een out-of-bounds schrijfprobleem in de V8 JavaScript-engine van Chrome, die verantwoordelijk is voor het uitvoeren van JS-code in de applicatie.
• CVE-2024-4947: Type verwarring zwakte in de V8 JavaScript-engine van Chrome waarmee willekeurige code op het doelapparaat kan worden uitgevoerd.
• CVE-2024-5274: Type verwarring zwakte in de V8 JavaScript-engine van Chrome die kan leiden tot crashes, gegevenscorruptie of willekeurige code-uitvoering.