O Google abordou outra exploração 0day do Chrome utilizada na pwn2own em março
O Google corrigiu outra vulnerabilidade de dia zero do Chrome explorada durante a competição de hackers Pwn2Own em março.
O Google corrigiu outra vulnerabilidade de dia zero no navegador Chrome, rastreada como CVE-2024-3159, que foi explorada durante a competição de hackers Pwn2Own em março de 2024.
A vulnerabilidade CVE-2024-3159 é um acesso à memória fora dos limites no mecanismo JavaScript V8. A falha foi demonstrada por Edouard Bochin (@le_douds) e Tao Yan (@Ga1ois) da Palo Alto Networks durante o Pwn2Own 2024 em 22 de março de 2024. A dupla ganhou US$ 42.500 e 9 pontos Master of Pwn por demonstrar sua exploração contra o Google Chrome e Microsoft borda.
Um invasor remoto pode explorar esse problema enganando a vítima, fazendo-a visitar uma página HTML especialmente criada para obter acesso a dados além do buffer de memória, provocando corrupção de heap. A exploração pode levar à divulgação de informações confidenciais ou a um acidente.
Os pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan, demonstraram o dia zero no segundo dia do Pwn2Own Vancouver 2024 para derrotar o endurecimento V8.
“O canal Stable foi atualizado para 123.0.6312.105/.106/.107 para Windows e Mac e 123.0.6312.105 para Linux, que será lançado nos próximos dias/semanas.” lê as atualizações de lançamento da equipe do Chrome .
A gigante de TI também abordou os seguintes problemas:
- [$7.000][ 329130358 ] Alto CVE-2024-3156: Implementação inadequada na V8. Relatado por Zhenghang Xiao (@Kipreyyy) em 12/03/2024
- [$3000][ 329965696 ] Alto CVE-2024-3158: Use depois gratuitamente nos Favoritos. Relatado por undoingfish em 17/03/2024
No final de março, o Google corrigiu várias vulnerabilidades no navegador Chrome esta semana, incluindo duas vulnerabilidades de dia zero , rastreadas como CVE-2024-2886 e CVE-2024-2887, que foram demonstradas durante a competição de hackers Pwn2Own Vancouver 2024 .
A vulnerabilidade de alta gravidade CVE-2024-2886 é um problema de uso após liberação que reside nos WebCodecs. A falha foi demonstrada por Seunghyun Lee ( @0x10n ) do KAIST Hacking Lab durante o Pwn2Own 2024.
A vulnerabilidade de alta servidoridade CVE-2024-2887 é um problema de confusão de tipo que reside no WebAssembly. Manfred Paul demonstrou a vulnerabilidade durante o Pwn2Own 2024.
Em janeiro, o Google abordou a primeira vulnerabilidade de dia zero do Chrome do ano que está sendo explorada ativamente.
A vulnerabilidade de alta servidoridade, rastreada como CVE-2024-0519 , é um acesso à memória fora dos limites no mecanismo JavaScript do Chrome. A falha foi relatada pelo Anonymous em 11 de janeiro de 2024.
Siga-me o autor no Twitter: @securityaffairs e Facebook e Mastodon
