Google hat am Dienstag Updates zur Behebung von vier Sicherheitsproblemen in seinem Chrome-Browser veröffentlicht, darunter eine aktiv ausgenutzte Zero-Day-Schwachstelle.
Das Problem, verfolgt als CVE-2024-0519handelt es sich um einen außerhalb der Grenzen liegenden Speicherzugriff in der V8-JavaScript- und WebAssembly-Engine, der von Bedrohungsakteuren als Waffe genutzt werden kann, um einen Absturz auszulösen.
„Durch das Auslesen von Speicher außerhalb der Grenzen kann ein Angreifer möglicherweise an geheime Werte wie Speicheradressen gelangen, mit denen Schutzmechanismen wie ASLR umgangen werden können, um die Zuverlässigkeit und Wahrscheinlichkeit der Ausnutzung einer separaten Schwachstelle zum Erzielen von Code zu verbessern.“ Ausführung statt nur Denial-of-Service“, heißt es in der Common Weakness Enumeration (CWE) von MITRE.
Weitere Details über die Art der Angriffe und die Bedrohungsakteure, die sie möglicherweise ausnutzen, wurden zurückgehalten, um eine weitere Ausnutzung zu verhindern. Das Problem wurde am 11. Januar 2024 anonym gemeldet.
„Der Speicherzugriff außerhalb der Grenzen in V8 in Google Chrome vor 120.0.6099.224 ermöglichte es einem Remote-Angreifer, potenziell die Heap-Beschädigung über eine manipulierte HTML-Seite auszunutzen“, heißt es in einer Beschreibung des Fehlers in der National Vulnerability Database (NVD) des NIST.
Die Entwicklung markiert den ersten aktiv ausgenutzten Zero-Day, der von Google im Jahr 2024 in Chrome gepatcht wird. Letztes Jahr hat der Technologieriese insgesamt 8 solcher aktiv ausgenutzten Zero-Days im Browser behoben.
Benutzern wird empfohlen, auf die Chrome-Version 120.0.6099.224/225 für Windows, 120.0.6099.234 für macOS und 120.0.6099.224 für Linux zu aktualisieren, um potenzielle Bedrohungen abzuwehren.
Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird außerdem empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.