Durante la competizione di hacking Pwn2Own Vancouver 2024, Google ha dovuto affrontare diverse vulnerabilità critiche nel suo browser web Chrome. Tra queste, spiccano due zero-day, individuate con i codici CVE-2024-2886 e CVE-2024-2887.
La prima vulnerabilità, CVE-2024-2886, è stata sfruttata da Seunghyun Lee del KAIST Hacking Lab: riguarda un problema di use after free nell'API WebCodecs, utilizzato dalle app web per codificare e decodificare contenuti audio e video. La seconda vulnerabilità, CVE-2024-2887, è stata evidenziata da Manfred Paul ed è una vulnerabilità di confusione di tipo nello standard aperto WebAssembly.
Oltre a questi due zero-day, Google ha dovuto fare i conti con altre vulnerabilità critiche. Tra queste, va menzionata la CVE-2024-2883 individuata da Cassidy Kim, che riguarda un caso di uso dopo la liberazione nel componente ANGLE del browser. Un'altra vulnerabilità rilevante è la CVE-2024-2885, riferita da wgslfuzz, che coinvolge un'altra problematica di use after free, questa volta nel componente Dawn. In risposta a queste vulnerabilità, Google ha rilasciato aggiornamenti per le versioni di Chrome destinate a Windows, Mac e Linux. Tuttavia, l'azienda non ha fornito informazioni riguardo all'eventuale sfruttamento attivo di queste falle.
Parallelamente all'esperienza di Google, Mozilla ha dovuto affrontare anch'essa una situazione simile con il suo browser Firefox. Durante la stessa competizione Pwn2Own Vancouver 2024, due vulnerabilità zero-day sono state dimostrate da Manfred Paul. Queste vulnerabilità, tracciate come CVE-2024-29944 e CVE-2024-29943, hanno evidenziato gravi problemi di sicurezza nel browser di Mozilla.
Per risolvere queste criticità, Mozilla ha prontamente rilasciato le versioni 124.0.1 e 115.9.1 di Firefox e Firefox ESR. Questi aggiornamenti hanno consentito di porre rimedio alle vulnerabilità e di proteggere gli utenti da potenziali minacce alla sicurezza online.
