CRITICAL✓ PATCH🇬🇧 English

CVE-2024-9369

Google Chrome: zapis poza granicami pamięci w Mojo (CVE-2024-9369)

CVSS 9.6v3.1pub. 2024-11-27upd. 2025-11-20

Podatność w komponencie Mojo przeglądarki Google Chrome umożliwia zdalny zapis poza granicami pamięci (out of bounds memory write) przez atakującego, który wcześniej przejął kontrolę nad procesem renderowania. Ze względu na wysoki wpływ na poufność, integralność i dostępność podatność oceniono jako krytyczną (CVSS 9.6).

Pokaż oryginał (EN)

Insufficient data validation in Mojo in Google Chrome prior to 129.0.6668.89 allowed a remote attacker who had compromised the renderer process to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High)

🤖 Analiza AI
Jak działa

Niewystarczająca walidacja danych w warstwie komunikacyjnej Mojo pozwala atakującemu, który uzyskał wcześniej kontrolę nad procesem renderowania (renderer process), na wykonanie zapisu poza przydzielonym obszarem pamięci. Atak jest inicjowany przez nakłonienie ofiary do odwiedzenia specjalnie spreparowanej strony HTML. Błąd klasyfikowany jest jako CWE-1284, co wskazuje na brak właściwej weryfikacji wartości wejściowych, które są następnie używane jako indeksy lub rozmiary operacji pamięciowych.

Skutki

Atakujący, który wcześniej skompromitował proces renderowania, może wykonać dowolny kod lub przejąć kontrolę nad procesem przeglądarki, potencjalnie wychodząc poza piaskownicę (sandbox escape) i uzyskując pełny dostęp do zasobów systemu ofiary.

Mitygacja

Należy zaktualizować Google Chrome do wersji 129.0.6668.89 lub nowszej. Aktualizacja dostępna jest za pośrednictwem wbudowanego mechanizmu automatycznej aktualizacji przeglądarki lub bezpośrednio z oficjalnej strony producenta.

Kogo dotyczy

Google Chrome w wersjach wcześniejszych niż 129.0.6668.89 na platformach desktopowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Google Chrome

    APP
    Google
    < 129.0.6668.89
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7971CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox