Контакты
Подписка 2025
Новости
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Уязвимость в движке V8 cтавит под угрозы смартфоны на Android и даже macOS

18/09/24

Google Chrome3-1

Специалисты BI.ZONE провели технический анализ критической уязвимости в JavaScript-движке V8, используемом в браузере Google Chrome. Установлено, что уязвимость представляет угрозу для пользователей Android-смартфонов и некоторых моделей ноутбуков на macOS, пишет Securitylab.

Компания Google сообщила о факте эксплуатации уязвимости CVE-2024-7965 26 августа, спустя несколько дней после выпуска версии 128.0.6613.84, в которой ошибка была исправлена. Уязвимость позволяет злоумышленникам захватить управление рендерером браузера при переходе пользователя на сайт, содержащий специально подготовленный JavaScript-код. По шкале CVSS данная уязвимость получила оценку 8,8 из 10 баллов, что свидетельствует о её высокой опасности.

По сообщениям ряда исследователей, CVE-2024-7965 использовалась злоумышленниками в связке с CVE-2024-7964 — уязвимостью платформы Privacy Sandbox в Chrome. В комбинации эти уязвимости позволяют злоумышленникам не только получить контроль над браузером жертвы, но и получить доступ к конфиденциальным данным, таким как пароли, история посещений и сохраненные cookie-файлы. Успешная эксплуатация позволяет также установить на устройство шпионское ПО для отслеживания действий пользователя в браузере.

Опасности подвергаются также все браузеры на базе Chromium. В некоторых из них ошибка может быть до сих пор не исправлена.

Анализ показал, что уязвимость CVE-2024-7965 распространяется на устройства с процессорной архитектурой ARM, такие как ноутбуки Apple, выпущенные после ноября 2020 года, и смартфоны на Android любой версии.

Эксперты выяснили, что CVE-2024-7965 связана с некорректной обработкой значений при оптимизации во время выполнения кода JavaScript. Ошибка ведет к возможности записи и чтения за пределами легитимного участка памяти, что, в свою очередь, дает возможность захватить контроль исполнения кода. Это позволяет киберпреступнику при наличии распространенной уязвимости XSS на поддомене популярного сайта (например, my.example.com) украсть сессию пользователя на основном сайте и всех остальных поддоменах (например, example.com и mail.example.com). Последствия варьируются от утечки конфиденциальных данных до заражения устройства вредоносным ПО.
Темы:СмартфоныУгрозыGoogle ChromeBI.Zone
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Как баг-баунти помогает e-commerce снижать киберриски: опыт "Авито" и BI.ZONE Bug Bounty
    "Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty.
  • Обнаружение угроз в SOC: что влияет на эффективность
    Андрей Шаляпин, руководитель BI.ZONE TDR
    Во втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффективность обнаружения?
  • Покрытие мониторингом ИТ-инфраструктуры: как выбрать оптимальный уровень
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Компания BI.ZONE совместно с журналом “Информационная безопасность” запускает цикл публикаций о ключевых аспектах функционирования SOC. И при строительстве собственного центра мониторинга, и при взаимодействии с внешним провайдером (MSSP) организации могут допустить ошибки, которые повлияют на эффективность защиты. Эксперты подробно разберут семь направлений работы SOC, а также расскажут о распространенных проблемах, с которыми сталкиваются компании.
  • Подход к мониторингу конечных точек в технологической инфраструктуре
    Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE
    Эффективная защита конечных точек в технологической инфраструктуре невозможна без глубокого понимания специфики АСУ ТП, поэтому важно выбирать средства защиты, которые ее учитывают и прошли тестирование на совместимость с технологическим ПО.
  • Управление конфигурациями: как защититься до атаки
    Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
    Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.
  • Щедрость владельцев инфраструктуры не победить! Часть 1
    Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE
    Случаются ли нелепые, абсурдные и курьезные киберинциденты? Безусловно. Все приведенные ниже истории – реальные случаи из практики. Они забавны, но за каждым таким эпизодом скрываются реальные последствия: простои бизнеса, финансовые потери и репутационные удары. Читайте, улыбайтесь, и пусть эти ошибки останутся в чужих историях, а не в вашей практике.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности