Google dicht nog een op Pwn2Own ontdekte zeroday in Chrome

0
6

Google heeft opnieuw een zeroday in Chrome gefixt. Beveiligingsonderzoekers ontdekten de fout tijdens de hackwedstrijd Pwn2Own. Vorige week dichtte Google ook al twee zerodays die onderzoekers tijdens Pwn2Own hadden ontdekt.

Beveiligingsonderzoekers Edouard Bochin en Tao Yan, beiden werkzaam voor Palo Alto Networks, vonden de nu gedichte kwetsbaarheid, getrackt als CVE-2024-3159, schrijft BleepingComputer. Het betreft een out-of-bounds readfout in de Chrome V8 JavaScript-engine. Aanvallers kunnen daarmee op afstand toegang krijgen tot data voorbij de geheugenbuffer.

De twee beveiligingsonderzoekers wisten via de zeroday eigen code uit te voeren in Google Chrome en Microsoft Edge, wat hen een prijs van 42.500 dollar opleverde. Google heeft de zeroday nu gedicht in versie 123.0.6312.105/.106/.107 voor Windows en Mac, en in versie 123.0.6312.105 voor Linux. Google rolt de updates de komende dagen wereldwijd uit.

Vorige week dichtte Google ook al twee zerodays in Chrome die tijdens Pwn2Own werden ontdekt. Eén daarvan was CVE-2024-2887, een typeconfusionfout gevonden door Manfred Paul, waarmee hij op afstand eigen code kon uitvoeren in Chrome en Edge. Seunghyun Lee van KAIST Hacking Lab ontdekte ook een use-after-freefout in WebCodes, getrackt als CVE-2024-2886, waarmee hij eigen code kon uitvoeren in beide Chromium-browsers.