Vandaag heeft Google een nieuwe noodbeveiligingsupdate voor Chrome uitgebracht om een zero-day kwetsbaarheid te verhelpen die volgens meldingen is misbruikt in aanvallen.

“Google is zich ervan bewust dat er een exploit voor CVE-2024-7971 in het wild bestaat,” zei het bedrijf in een advies dat woensdag werd gepubliceerd.

Deze zero-day kwetsbaarheid met hoge ernst wordt veroorzaakt door een typeverwarringszwakte in Chrome’s V8 JavaScript-engine. Beveiligingsonderzoekers van het Microsoft Threat Intelligence Center (MSTIC) en het Microsoft Security Response Center (MSRC) meldden dit maandag.

Hoewel dergelijke beveiligingsfouten aanvallers vaak in staat stellen om browsercrashes te veroorzaken nadat gegevens in het geheugen zijn geïnterpreteerd als een ander type, kunnen ze ze ook misbruiken voor willekeurige code-uitvoering op doelapparaten met niet-gepatchte browsers.

Google heeft de zero-day opgelost met de release van 128.0.6613.84/.85 voor Windows/macOS en 128.0.6613.84 (Linux), versies die de komende weken zullen worden uitgerold naar alle gebruikers in het Stable Desktop-kanaal.

Hoewel Chrome automatisch update wanneer beveiligingspatches beschikbaar zijn, kunnen gebruikers het proces versnellen door naar het Chrome-menu > Help > Over Google Chrome te gaan, de update te laten voltooien en op de knop ‘Opnieuw starten’ te klikken om deze te installeren.

De update van vandaag was onmiddellijk beschikbaar toen BleepingComputer vandaag naar nieuwe updates zocht.

Hoewel Google bevestigde dat de CVE-2024-7971 kwetsbaarheid werd gebruikt in aanvallen, heeft het bedrijf nog geen aanvullende informatie gedeeld over exploitatie in het wild.

“Toegang tot bugdetails en links kan worden beperkt totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing,” zei Google.

“We zullen ook beperkingen handhaven als de bug bestaat in een bibliotheek van derden waar ook andere projecten van afhankelijk zijn, maar die nog niet zijn opgelost.”

CVE-2024-7971 is de negende Chrome zero-day die Google in 2024 heeft gepatcht, hetzij misbruikt in het wild, hetzij tijdens de Pwn2Own hackingwedstrijd:

• CVE-2024-0519: Een kwetsbaarheid met hoge ernst van buiten de grenzen van het geheugen binnen de Chrome V8 JavaScript-engine, waardoor externe aanvallers heap-corruptie kunnen exploiteren via een speciaal vervaardigde HTML-pagina, wat leidt tot ongeautoriseerde toegang tot gevoelige informatie.
• CVE-2024-2887: Een typeverwarringsfout met hoge ernst in de WebAssembly (Wasm) standaard. Het kan leiden tot exploits voor remote code execution (RCE) met gebruik van een speciaal vervaardigde HTML-pagina.
• CVE-2024-2886: Een use-after-free kwetsbaarheid in de WebCodecs API gebruikt door webapplicaties om audio en video te coderen en decoderen. Externe aanvallers hebben het geëxploiteerd om willekeurige leesschrijfopdrachten uit te voeren via speciaal vervaardigde HTML-pagina’s, wat leidt tot remote code execution.
• CVE-2024-3159: Een kwetsbaarheid met hoge ernst veroorzaakt door een out-of-bounds lezen in de Chrome V8 JavaScript-engine. Externe aanvallers hebben deze fout geëxploiteerd met behulp van speciaal vervaardigde HTML-pagina’s om toegang te krijgen tot gegevens buiten de toegewezen geheugenbuffer, wat resulteert in heap-corruptie die kan worden gebruikt om gevoelige informatie te extraheren.
• CVE-2024-4671: Een use-after-free fout met hoge ernst in de Visuals-component die het weergeven en tonen van content in de browser afhandelt.
• CVE-2024-4761: Een out-of-bounds schrijffout in Chrome’s V8 JavaScript-engine, die verantwoordelijk is voor het uitvoeren van JS-code in de applicatie.
• CVE-2024-4947: Typeverwarringszwakte in de Chrome V8 JavaScript-engine die willekeurige code-uitvoering op het doelapparaat mogelijk maakt.
• CVE-2024-5274: Een typeverwarring in Chrome’s V8 JavaScript-engine die kan leiden tot crashes, gegevenscorruptie of willekeurige code-uitvoering.