谷歌近日推出修復程序,以解決Chrome瀏覽器中的九個安全問題,其中包括一個已被廣泛利用的零日漏洞。這個漏洞的CVE識別碼為CVE-2024-4947,與V8 JavaScript和WebAssembly引擎中的型別混淆錯誤有關。
卡巴斯基研究人員Vasily Berdnikov和Boris Larin於2024年5月13日報告了這一消息。當程式嘗試存取類型不相容的資源時,就會出現類型混淆漏洞。這種漏洞可能會產生嚴重影響,因為它允許威脅參與者執行越界記憶體存取,導致程式崩潰,甚至執行任意程式碼。
這一進展標誌著谷歌在一週內修復的第三個零日漏洞,繼CVE-2024-4671和CVE-2024-4761之後。與往常一樣,谷歌對攻擊的具體細節保持保密,以防止進一步利用。該公司表示:“Google意識到存在CVE-2024-4947漏洞。”
自今年年初以來,谷歌已經解決了Chrome中共七個零日漏洞,包括:
- CVE-2024-0519:V8中的越界記憶體存取
- CVE-2024-2886:WebCodecs中的釋放後使用(在Pwn2Own 2024上示範)
- CVE-2024-2887:WebAssembly中的類型混淆(在Pwn2Own 2024上示範)
- CVE-2024-3159:V8中的越界記憶體存取(在Pwn2Own 2024上示範)
- CVE-2024-4671:視覺效果中的釋放後使用
- CVE-2024-4761:V8中的越界寫入
谷歌建議用戶在Windows和macOS上升級至Chrome版本125.0.6422.60/.61,在Linux上升級至Chrome版本125.0.6422.60,以減輕潛在威脅。同樣,使用基於Chromium的瀏覽器(例如Microsoft Edge、Brave、Opera和Vivaldi)的用戶也應在修復程序可用時套用這些修復程式。
本文轉載自thehackernews