La publication prévient que vous ne devez pas attendre que le navigateur se mette automatiquement à jour et recommande aux utilisateurs d'installer immédiatement la mise à jour. Pour vous assurer que la mise à jour est installée, vous devez fermer et redémarrer Chrome. Il convient de garder à l'esprit que les deux premières vulnérabilité peuvent toucher plusieurs navigateurs Web à l'aide de Chromium-Google Chrome, Microsoft Edge et Opera.
Le premier avertissement de Chrome "Mise à jour maintenant" était le 9 mai, lorsque Google a averti qu'il connaissait l'existence de la vulnérabilité CV-2024-4947. C'était le problème d'utilisation après la libération, lorsque les indicateurs de mémoire libérée ne sont pas supprimés et donc ils peuvent être abusés. Les attaquants peuvent utiliser UAF pour transmettre un code arbitraire (ou une référence) au programme et aller au début du code avec l'index "suspendu".
Ainsi, effectuer un code nocif peut permettre à la cybercriminalité de prendre le contrôle du système de victime. Le 13 mai, la vulnérabilité du CVE-2024-4761 a forcé Google à avertir de la menace. Cette fois, c'était une vulnérabilité de mémoire qui va au-delà, ce qui touche le JavaScript deux du Chrome V8. Les problèmes de ce type permettent à l'attaquant d'attaquer Chrome avec des pages HTML nuisibles.
Une telle vulnérabilité peut conduire à la divulgation d'informations confidentielles, ainsi qu'au risque de défaillance du système ou de logiciel qui peut permettre à l'attaquant d'accéder à ces données. Le 15 mai, Google a averti que la vulnérabilité du CV-2024-4947 a conduit à un autre problème de mémoire - la vulnérabilité de la "confusion de type", qui est attaquée par les utilisateurs avec le HTML créé.
La confusion de type se produit lorsque le logiciel essaie d'accéder aux ressources incompatibles en contournant le système de sécurité. Toute ces vulnérabilité peut déstabiliser un navigateur ou un appareil, mais peut également être utilisé pour démarrer d'autres expressions. Les trois vulnérabilité ont déjà été ajoutées au CISA - un catalogue de vulnérabilités bien connues (KEV) de l'agence américaine de cybersécurité et de sécurité.
Tous les droits sont protégés IN-Ukraine.info - 2022