O Google abordou outra exploração 0day do Chrome utilizada na pwn2own em março

O Google corrigiu outra vulnerabilidade de dia zero no navegador Chrome, rastreada como CVE-2024-3159, que foi explorada durante a competição de hackers Pwn2Own em março de 2024.

A vulnerabilidade CVE-2024-3159 é um acesso à memória fora dos limites no mecanismo JavaScript V8. A falha foi demonstrada por Edouard Bochin (@le_douds) e Tao Yan (@Ga1ois) da Palo Alto Networks durante o Pwn2Own 2024 em 22 de março de 2024. A dupla ganhou US$ 42.500 e 9 pontos Master of Pwn por demonstrar sua exploração contra o Google Chrome e Microsoft borda.

Um invasor remoto pode explorar esse problema enganando a vítima, fazendo-a visitar uma página HTML especialmente criada para obter acesso a dados além do buffer de memória, provocando corrupção de heap. A exploração pode levar à divulgação de informações confidenciais ou a um acidente.

Os pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan,  demonstraram o dia zero  no segundo dia do Pwn2Own Vancouver 2024 para derrotar o endurecimento V8.

“O canal Stable foi atualizado para 123.0.6312.105/.106/.107 para Windows e Mac e 123.0.6312.105 para Linux, que será lançado nos próximos dias/semanas.” lê as atualizações de lançamento da equipe do Chrome .

A gigante de TI também abordou os seguintes problemas:

• [$7.000][ 329130358 ] Alto CVE-2024-3156: Implementação inadequada na V8. Relatado por Zhenghang Xiao (@Kipreyyy) em 12/03/2024
• [$3000][ 329965696 ] Alto CVE-2024-3158: Use depois gratuitamente nos Favoritos. Relatado por undoingfish em 17/03/2024

No final de março, o Google corrigiu várias vulnerabilidades no navegador Chrome esta semana, incluindo duas vulnerabilidades de dia zero , rastreadas como CVE-2024-2886 e CVE-2024-2887, que foram demonstradas durante a   competição de hackers Pwn2Own Vancouver 2024 .

A vulnerabilidade de alta gravidade CVE-2024-2886 é um problema de uso após liberação que reside nos WebCodecs. A falha foi demonstrada por Seunghyun Lee ( @0x10n ) do KAIST Hacking Lab durante o Pwn2Own 2024.

A vulnerabilidade de alta servidoridade CVE-2024-2887 é um problema de confusão de tipo que reside no WebAssembly. Manfred Paul  demonstrou  a vulnerabilidade durante o Pwn2Own 2024.

Em janeiro, o Google abordou a primeira vulnerabilidade de dia zero do Chrome do ano que está sendo explorada ativamente.

A vulnerabilidade de alta servidoridade, rastreada como  CVE-2024-0519 , é um acesso à memória fora dos limites no mecanismo JavaScript do Chrome. A falha foi relatada pelo Anonymous em 11 de janeiro de 2024.

Siga-me o autor no Twitter:  @securityaffairs  e  Facebook  e  Mastodon

Pierluigi Paganini