请尽快更新！第 4 个 Chrome 零日漏洞已出现

谷歌周四推出了修复程序，以解决其Chrome浏览器中的一个高严重性安全漏洞，据称该漏洞已被广泛利用。

该漏洞的CVE标识符为CVE-2024-5274，与V8 JavaScript和WebAssembly引擎中的类型混淆错误有关。2024 年 5 月 20 日，谷歌威胁分析小组的 Clément Lecigne 和 Chrome Security 的 Brendon Tiszka 报告了这一消息。

当程序尝试访问类型不兼容的资源时，会出现类型混淆漏洞。它可能会产生严重的后果，因为它允许威胁参与者执行越界内存访问、导致崩溃并执行任意代码。

这一进展标志着谷歌自本月初以来在 CVE-2024-4671、CVE-2024-4761 和 CVE-2024-4947 之后修补的第四个零日漏洞。

这家科技巨头没有透露有关该漏洞的更多技术细节，但承认它“知道 CVE-2024-5274 的漏洞存在于野外”。目前尚不清楚该缺点是否是 CVE-2024-4947 的补丁绕过，这也是 V8 中的类型混淆错误。

通过最新的修复程序，谷歌已经解决了自今年年初以来谷歌在 Chrome 中总共解决了八个零日问题——

• CVE-2024-0519 - V8 中的越界内存访问CVE-2024-0519 - V8 中的越界内存访问CVE-2024-0519 - V8
• CVE-2024-2886 - WebCodecs 中的释放后使用（在Pwn2Own 2024 上演示）
• CVE-2024-2887 - WebAssembly 中的类型混淆（在Pwn2Own 2024 上演示）
• CVE-2024-3159 - V8 中的越界内存访问（在Pwn2Own 2024 上演示）
• CVE-2024-4671 - 视觉对象中的释放后使用
• CVE-2024-4761 - V8 中的越界写入
• CVE-2024-4947 - V8 中的类型混淆CVE-2024-4947 - V8 中的类型混淆CVE-2024-4947 - V8

建议用户升级到 Chrome 版本 125.0.6422.112/.113（适用于 Windows 和 macOS）以及 125.0.6422.112（适用于 Linux）以缓解潜在威胁。

还建议基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时应用它们。