PT-2024-5817 · Google+5 · V8 Javascript Engine+6

Publicado

2024-08-21

·

Atualizado

2026-04-05

·

CVE-2024-7971

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Google Chrome anteriores à 128.0.6613.84
Descrição
Uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8 do Google Chrome permite que um invasor remoto explore a corrupção da pilha (heap) por meio de uma página HTML maliciosa. Essa vulnerabilidade tem sido ativamente explorada em ambiente real por um agente de ameaças norte-coreano, conhecido como Citrine Sleet, para obter execução remota de código e implantar o rootkit FudModule, visando principalmente o setor de criptomoedas para obter ganhos financeiros.
Recomendações
Para resolver o problema, atualize o Google Chrome para a versão 128.0.6613.84 ou posterior. Como solução temporária, considere restringir o acesso ao mecanismo JavaScript V8 ou evitar o uso de páginas HTML criadas especificamente para esse fim até que o problema seja resolvido.

Exploit

Correção

Type Confusion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-843

Identificadores relacionados

ALT-PU-2024-14994
ALT-PU-2024-14996
ALT-PU-2024-15041
ALT-PU-2024-15575
ALT-PU-2024-17740
ALT-PU-2025-2945
ALT-PU-2025-4366
ALT-PU-2025-7539
ALT-PU-2025-8547
BDU:2024-06562
CVE-2024-7971
DSA-5757-1
MGASA-2024-0321
OPENSUSE-SU-2024:0258-1
OPENSUSE-SU-2024:0258-2
OPENSUSE-SU-2024:0275-1
OPENSUSE-SU-2024:14285-1
OPENSUSE-SU-2024:14548-1
OPENSUSE-SU-2024_0275-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Google Chrome
Red Os
Suse
V8 Javascript Engine