В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.
Тип уязвимости "use after free". Уязвимость нашли в компоненте Visuals, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷♂️
Обновления для Chromium/Chrome:
🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Linux)
Также стоит ждать обновлений для всех Chromium-based браузеров: Microsoft Edge, Vivaldi, Brave, Opera, Yandex Browser и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.