СпециалистыBI.ZONEпровели технический анализкритической уязвимости в JavaScript-движке V8, используемом в браузере GoogleChrome. Установлено, что уязвимость представляет угрозу для пользователейAndroid-смартфонов и некоторых моделей ноутбуков наmacOS, пишет Securitylab. Компания Googleсообщилао факте эксплуатации уязвимостиCVE-2024-796526 августа, спустя несколько дней после выпуска версии 128.0.6613.84, в которой ошибка была исправлена. Уязвимость позволяет злоумышленникам захватить управление рендерером браузера при переходе пользователя на сайт, содержащий специально подготовленный JavaScript-код. По шкале CVSS данная уязвимость получила оценку 8,8 из 10 баллов, что свидетельствует о её высокой опасности. По сообщениям ряда исследователей, CVE-2024-7965 использовалась злоумышленниками в связке с CVE-2024-7964 — уязвимостью платформы Privacy Sandbox в Chrome. В комбинации эти уязвимости позволяют злоумышленникам не только получить контроль над браузером жертвы, но и получить доступ к конфиденциальным данным, таким как пароли, история посещений и сохраненные cookie-файлы. Успешная эксплуатация позволяет также установить на устройство шпионское ПО для отслеживания действий пользователя в браузере. Опасности подвергаются также все браузеры на базе Chromium. В некоторых из них ошибка может быть до сих пор не исправлена. Анализ показал, что уязвимость CVE-2024-7965 распространяется на устройства с процессорной архитектурой ARM, такие как ноутбуки Apple, выпущенные после ноября 2020 года, и смартфоны на Android любой версии. Эксперты выяснили, что CVE-2024-7965 связана с некорректной обработкой значений при оптимизации во время выполнения кода JavaScript. Ошибка ведет к возможности записи и чтения за пределами легитимного участка памяти, что, в свою очередь, дает возможность захватить контроль исполнения кода. Это позволяет киберпреступнику при наличии распространенной уязвимости XSS на поддомене популярного сайта (например, my.example.com) украсть сессию пользователя на основном сайте и всех остальных поддоменах (например, example.com и mail.example.com). Последствия варьируются от утечки конфиденциальных данных до заражения устройства вредоносным ПО.
Уязвимость в движке V8 cтавит под угрозы смартфоны на Android и даже macOS
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Правилах сервиса
Анализ
×