PT-2024-3653 · Google+4 · Google Chrome+5
Boris Larin
+3
·
Publicado
2024-05-15
·
Atualizado
2025-09-01
·
CVE-2024-4947
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Google Chrome anteriores à 125.0.6422.60
Versões do Chromium anteriores à 126.0.6478.182-alt0.c10.1
Versões do Chromium-Gost anteriores à 125.0.6422.112-alt0.c10.1
Yandex-browser-stable versão 24.4.3.1111-alt1
Versões do Chromium anteriores à 125.0.6422.60-1~deb12u1 (Debian bookworm)
Descrição
Existe uma vulnerabilidade de confusão de tipos no mecanismo V8 JavaScript e WebAssembly do Google Chrome e dos navegadores baseados no Chromium. Essa falha pode permitir que um invasor remoto execute código arbitrário dentro de uma sandbox por meio de uma página HTML maliciosa. A vulnerabilidade tem sido ativamente explorada em ataques, inclusive pelo grupo APT Lazarus, que utilizou um jogo malicioso para distribuir malware. A exploração dessa vulnerabilidade pode levar à execução remota de código e ao potencial acesso ou controle não autorizado dos sistemas afetados.
Recomendações
Atualize o Google Chrome para a versão 125.0.6422.60 ou posterior.
Atualize o Chromium para a versão 126.0.6478.182-alt0.c10.1 ou posterior.
Atualize o Chromium-Gost para a versão 125.0.6422.112-alt0.c10.1 ou posterior.
Atualize o Yandex-browser-stable para a versão 24.4.3.1111-alt1.
Atualize o Chromium para a versão 125.0.6422.60-1~deb12u1 ou posterior (Debian bookworm).
Exploit
Correção
RCE
Type Confusion
Improperly Implemented Security Check for Standard
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Google Chrome
Red Os
V8 Javascript Engine