https://twcert2024.informationsecurity.com.tw/

新聞

谷歌釋出更新修補Chrome九個安全漏洞,包括新的零日漏洞

2024 / 05 / 17
編輯部
谷歌釋出更新修補Chrome九個安全漏洞,包括新的零日漏洞
谷歌近日推出修復程序,以解決Chrome瀏覽器中的九個安全問題,其中包括一個已被廣泛利用的零日漏洞。這個漏洞的CVE識別碼為CVE-2024-4947,與V8 JavaScript和WebAssembly引擎中的型別混淆錯誤有關。

卡巴斯基研究人員Vasily Berdnikov和Boris Larin於2024年5月13日報告了這一消息。當程式嘗試存取類型不相容的資源時,就會出現類型混淆漏洞。這種漏洞可能會產生嚴重影響,因為它允許威脅參與者執行越界記憶體存取,導致程式崩潰,甚至執行任意程式碼。

這一進展標誌著谷歌在一週內修復的第三個零日漏洞,繼CVE-2024-4671和CVE-2024-4761之後。與往常一樣,谷歌對攻擊的具體細節保持保密,以防止進一步利用。該公司表示:“Google意識到存在CVE-2024-4947漏洞。”

自今年年初以來,谷歌已經解決了Chrome中共七個零日漏洞,包括:
  • CVE-2024-0519:V8中的越界記憶體存取
  • CVE-2024-2886:WebCodecs中的釋放後使用(在Pwn2Own 2024上示範)
  • CVE-2024-2887:WebAssembly中的類型混淆(在Pwn2Own 2024上示範)
  • CVE-2024-3159:V8中的越界記憶體存取(在Pwn2Own 2024上示範)
  • CVE-2024-4671:視覺效果中的釋放後使用
  • CVE-2024-4761:V8中的越界寫入
谷歌建議用戶在Windows和macOS上升級至Chrome版本125.0.6422.60/.61,在Linux上升級至Chrome版本125.0.6422.60,以減輕潛在威脅。同樣,使用基於Chromium的瀏覽器(例如Microsoft Edge、Brave、Opera和Vivaldi)的用戶也應在修復程序可用時套用這些修復程式。

本文轉載自thehackernews