Af Eskil Sørensen, 01/11/24
Apple har fundet en kritisk sårbarhed i Chrome-browseren, som nu er blevet adresseret af Google i den seneste opdatering. Det skriver Security Affairs.
Sårbarheden har id’et CVE-2024-10487. Den har ikke fået en score endnu, men får prædikatet ”critical”, hvilket normalt betyder et CVSS-tal på mellem 9 og 10.
Sårbarheden er et out-of-bounds write-problem, der ligger i Dawn-implementeringen. Dawn er en open source og cross-platform implementering af WebGPU-standarden. Dawn implementerer den webgpu. h, der er en en-til-en kortlægning med WebGPU IDL. Dawn er beregnet til at blive integreret som en del af et større system og er den underliggende implementering af WebGPU i Chromium.
Det er uklart, om sårbarheden er blevet aktivt udnyttet i angreb in-the-wild, fremgår det.
Udover den kritiske sårbarhed har Google også håndteret en alvorlig en af slagsen, nemlig CVE-2024-10488, i WebRTC. Denne er en use-after-free, der findes i WebRTC.
Begge sårbarheder er håndteret med udgivelsen af Chrome 130.
Nyeste version hedder nu 130.0.6723.91/.92 til Windows, Mac og 130.0.6723.91 til Linux.
Links:
https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/
https://www.malwarebytes.com/blog/news/2024/10/patch-now-new-chrome-update-for-two-critical-vulnerabilities
https://securityaffairs.com/170395/security/google-fixed-critical-chrome-flaw.html