Gregory's Server
#kirizaki_news
Вслед за Mozilla препарированные на Pwn2Own 2024 в Ванкувере две 0-day исправила Google в своем Chrome.
В общей сложности в рамках выпущенного обновления поставщик закрыл семь проблем безопасности.
Первая 0-day отслеживается как CVE-2024-2887 и представляет собой серьезную уязвимость, связанную с путаницей типов, в WebAssembly (Wasm).
Исследователь Манфред Пол продемонстрировал ее в первый день Pwn2Own как часть RCE-эксплойта с использованием созданной HTML-страницы и нацеленного как на Chrome, так и на Edge.
Второй ноль отслеживается как CVE-2024-2886 и был реализован исследователем KAIST Hacking Lab на второй день конкурса CanSecWest Pwn2Own.
Ошибка относится к категории UAF и затрагивает API WebCodecs, позволяя удаленным злоумышленникам выполнять произвольные операции чтения/записи через созданные HTML-страницы.
KAIST Hacking Lab также смогла задействовать CVE-2024-2886 для удаленного выполнения кода с помощью эксплойта, нацеленного как на Google Chrome, так и на Microsoft Edge.
Оба недостатка теперь закрыты с выпуском Google Chrome версии 123.0.6312.86/.87 для Windows и Mac и 123.0.6312.86 для пользователей Linux.
Источник: SecAtor
Вслед за Mozilla препарированные на Pwn2Own 2024 в Ванкувере две 0-day исправила Google в своем Chrome.
В общей сложности в рамках выпущенного обновления поставщик закрыл семь проблем безопасности.
Первая 0-day отслеживается как CVE-2024-2887 и представляет собой серьезную уязвимость, связанную с путаницей типов, в WebAssembly (Wasm).
Исследователь Манфред Пол продемонстрировал ее в первый день Pwn2Own как часть RCE-эксплойта с использованием созданной HTML-страницы и нацеленного как на Chrome, так и на Edge.
Второй ноль отслеживается как CVE-2024-2886 и был реализован исследователем KAIST Hacking Lab на второй день конкурса CanSecWest Pwn2Own.
Ошибка относится к категории UAF и затрагивает API WebCodecs, позволяя удаленным злоумышленникам выполнять произвольные операции чтения/записи через созданные HTML-страницы.
KAIST Hacking Lab также смогла задействовать CVE-2024-2886 для удаленного выполнения кода с помощью эксплойта, нацеленного как на Google Chrome, так и на Microsoft Edge.
Оба недостатка теперь закрыты с выпуском Google Chrome версии 123.0.6312.86/.87 для Windows и Mac и 123.0.6312.86 для пользователей Linux.
Источник: SecAtor