CVE-2024-0519

Google Chromium V8

ВЕРОЯТНОСТЬ 0.5%
Дата обнаружения

2024-01-17

Официальное описание

Google Chromium V8 Engine contains an out-of-bounds memory access vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-0519 представляет собой критическую уязвимость типа Out-of-Bounds (OOB) Memory Access в движке JavaScript V8, который используется в браузере Chromium и основанных на нем продуктах. Проблема вызвана некорректной валидацией типов данных при оптимизации кода (JIT-компиляция).

Злоумышленник может создать специально подготовленную HTML-страницу, при посещении которой движок V8 допустит чтение или запись данных за пределами выделенного буфера памяти (Heap). Это приводит к повреждению кучи (Heap Corruption), что позволяет атакующему: 1. Обойти механизмы защиты памяти (ASLR). 2. Получить доступ к конфиденциальной информации в памяти процесса. 3. В сочетании с другими уязвимостями (песочницы) выполнить произвольный код в системе.

Данная уязвимость классифицируется как "0-day", так как на момент обнаружения она уже эксплуатировалась злоумышленниками в реальных атаках.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление браузера или программного обеспечения, использующего Chromium, до версии, в которой применен патч.

Для Google Chrome: Необходимо обновить браузер до версии 120.0.6099.224/225 (для Windows) или 120.0.6099.234 (для Mac и Linux) и выше.

Для Microsoft Edge: Обновите браузер до версии 120.0.2210.144 или выше.

Команды для принудительного обновления в корпоративной среде:

Для систем на базе Debian/Ubuntu:

apt update && apt --only-upgrade install google-chrome-stable

Для систем на базе RedHat/CentOS:

yum update google-chrome-stable

Для проверки текущей версии через терминал (Windows PowerShell):

(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.ProductVersion

После установки обновления необходимо полностью перезапустить браузер, чтобы изменения вступили в силу. Проверьте страницу chrome://settings/help для подтверждения статуса "Chrome is up to date".

Временные меры

Если немедленное обновление невозможно, рекомендуется применить следующие защитные механизмы для снижения риска эксплуатации:

  1. Включите режим "Улучшенная защита" (Enhanced Safe Browsing) в настройках безопасности браузера.
  2. Используйте политики изоляции сайтов (Site Isolation), чтобы ограничить доступ процесса к данным других вкладок.
  3. В корпоративной среде активируйте V8 Sandbox (если поддерживается версией), добавив флаг запуска:
--enable-features=V8Sandbox
  1. Ограничьте выполнение JavaScript на недоверенных ресурсах с помощью расширений типа NoScript или через групповые политики (GPO).
  2. Используйте средства защиты конечных точек (EDR/AV) с актуальными сигнатурами для обнаружения аномального поведения процессов браузера.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей