Η ευπάθεια Type Confusion εντοπίστηκε στη μηχανή V8 της JavaScript της Google Chrome, σε εκδόσεις πριν την 131.0.6778.108.
Technical Details
Αυτή η ευπάθεια επιτρέπει σε απομακρυσμένο επιτιθέμενο να εκμεταλλευτεί πιθανή παραμόρφωση αντικειμένων στη μνήμη μέσω μιας κακόβουλα διαμορφωμένης σελίδας HTML. Το πρόβλημα προκύπτει όταν ο κώδικας της V8 επεξεργάζεται δεδομένα με λανθασμένες υποθέσεις για τον τύπο τους, οδηγώντας σε απρόβλεπτη συμπεριφορά ή εκτέλεση κακόβουλου κώδικα. Η ευπάθεια χαρακτηρίζεται με υψηλή σοβαρότητα από την ομάδα ασφαλείας του Chromium, καθώς μπορεί να οδηγήσει σε εκμεταλλεύσιμα σφάλματα όπως:
- Ανάγνωση/Εγγραφή σε μη εξουσιοδοτημένες περιοχές μνήμης.
- Εκτέλεση αυθαίρετου κώδικα, επιτρέποντας στον επιτιθέμενο να αποκτήσει τον έλεγχο του συστήματος.
Με το Type Confusion, ένας επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε τμήματα της μνήμης που κανονικά είναι απρόσιτα. Αυτό μπορεί να οδηγήσει σε αποκάλυψη ευαίσθητων δεδομένων ή ακόμα και σε εγγραφή σε προστατευμένες περιοχές μνήμης.
Affected Products:
Google Chrome < V. 131.0.6778.108
Security Update:
Η Google διόρθωσε το σφάλμα στην έκδοση 131.0.6778.108 του Chrome. Η διόρθωση πιθανόν περιλαμβάνει βελτιώσεις στους μηχανισμούς επαλήθευσης τύπων, ώστε να αποτρέπονται εσφαλμένες παραδοχές σχετικά με τα δεδομένα που επεξεργάζεται η μηχανή V8.
Recommendations
Η άμεση αναβάθμιση του browser είναι κρίσιμη, καθώς η εκμετάλλευση τέτοιων σφαλμάτων συχνά ενσωματώνεται σε exploit kits ή χρησιμοποιείται σε στοχευμένες επιθέσεις.
References
- https://nvd.nist.gov/vuln/detail/CVE-2024-12053
- https://www.cve.org/CVERecord?id=CVE-2024-12053
- https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop.html