Af Eskil Sørensen, 27/05/24
Google sendte torsdag en ny Chrome-opdatering på gaden for at rette endnu en udnyttet sårbarhed. Det er den anden udnyttede sårbarhed på 10 dage og fjerde 0-dagssårbarhed på to uger. Det skriver The Hacker News.
Sårbarheden har id’et CVE-2024-5274 og karakteriseres af Google som ”high” i alvorlighedsgrad. Google skriver selv, at koncernen er klar over, at der pågår udnyttelse ”in-the-wild”.
Det er en såkaldt type confusion-fejl i V8 JavaScript- og WebAssembly-motoren. Fejlen af denne type opstår, når et program forsøger at få adgang til en ressource med en inkompatibel type. Det kan betyde, at trusselsaktører kan få adgang til hukommelsen out-of-bounce, forårsage et nedbrud og udføre vilkårlig kode.
Den nye version af Chrome installeres automatisk i de kommende uger, men som altid kan brugere selv installere opdateringerne ved at gå til Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den efter en genstart. Den seneste Chrome-iteration har versionsnummeret 125.0.6422.112 til Linux og som version 125.0.6422.112/.113 til Windows og macOS. Google annonceret også udgivelsen af Chrome til Android versioner 125.0.6422.112/.113 med de samme sikkerhedsrettelser.
Links:
https://www.securityweek.com/google-patches-fourth-chrome-zero-day-in-two-weeks/