CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-7971

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVSS 9.6v3.1pub. 2024-08-21upd. 2025-10-24

Podatność typu type confusion w silniku JavaScript V8 w Google Chrome (wersje przed 128.0.6613.84) oraz Microsoft Edge pozwala zdalnemu atakującemu na wywołanie heap corruption poprzez spreparowaną stronę HTML. Luka jest aktywnie wykorzystywana i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

Type confusion in V8 in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to exploit heap corruption via a crafted HTML page. (Chromium security severity: High)

🤖 Analiza AI
Jak działa

Atakujący przygotowuje specjalnie spreparowaną stronę HTML, której odwiedzenie przez ofiarę wywołuje błąd type confusion w silniku V8. Type confusion polega na tym, że silnik traktuje obiekt w pamięci jako inny typ niż rzeczywiście jest, co prowadzi do nieprawidłowych operacji na stercie (heap corruption). Błąd jest wyzwalany po stronie klienta przy minimalnej interakcji użytkownika — wystarczy odwiedzenie złośliwej strony w przeglądarce.

Skutki

Atakujący może osiągnąć wykonanie dowolnego kodu (RCE) w kontekście przeglądarki oraz potencjalnie wyjść poza sandbox przeglądarki, co może prowadzić do pełnego przejęcia kontroli nad systemem ofiary (wysokie ryzyko naruszenia poufności, integralności i dostępności).

Mitygacja

Należy niezwłocznie zaktualizować Google Chrome do wersji 128.0.6613.84 lub nowszej. Użytkownicy Microsoft Edge powinni zastosować odpowiedni patch dostępny u producenta zgodnie z referencjami. Ze względu na aktywne wykorzystywanie podatności aktualizacja powinna zostać przeprowadzona natychmiast.

Kogo dotyczy

Google Chrome w wersjach wcześniejszych niż 128.0.6613.84 oraz Microsoft Edge oparte na tej samej wersji silnika Chromium.

Uwagi

Podatność dotyczy zero-day aktywnie exploitowanego w środowisku produkcyjnym, co potwierdzają wpis w katalogu CISA KEV oraz wpis na blogu Microsoft Security (z dnia 2024-08-30).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Google Chrome

    APP
    Google
    < 128.0.6613.84
  • Microsoft Edge

    APP
    Microsoft
    < 128.0.2739.42

CISA KEV — szczegółyi

Dostawcai
Google
Produkti
Chromium V8
Data dodania do KEVi
26 sierpnia 2024
Termin remediation (USA)i
16 września 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaniechaj użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Google Chromium V8 zawiera lukę typu "type confusion", która umożliwia atakującemu z zewnątrz exploitowanie uszkodzenia heap poprzez stronę HTML. Ta luka może dotyczyć wielu przeglądarek internetowych wykorzystujących Chromium, w tym m.in. Google Chrome, Microsoft Edge i Opera.

tłumaczenie AI
Pokaż oryginał (EN)

Google Chromium V8 contains a type confusion vulnerability that allows a remote attacker to exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 16 września 2024
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox

CVE-2023-6345CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Integer overflow w Skia w Google Chrome — sandbox escape