谷歌周四推出了修复程序,以解决其Chrome浏览器中的一个高严重性安全漏洞,据称该漏洞已被广泛利用。
该漏洞的CVE标识符为CVE-2024-5274,与V8 JavaScript和WebAssembly引擎中的类型混淆错误有关。2024 年 5 月 20 日,谷歌威胁分析小组的 Clément Lecigne 和 Chrome Security 的 Brendon Tiszka 报告了这一消息。
当程序尝试访问类型不兼容的资源时,会出现类型混淆漏洞。它可能会产生严重的后果,因为它允许威胁参与者执行越界内存访问、导致崩溃并执行任意代码。
这一进展标志着谷歌自本月初以来在 CVE-2024-4671、CVE-2024-4761 和 CVE-2024-4947 之后修补的第四个零日漏洞。
这家科技巨头没有透露有关该漏洞的更多技术细节,但承认它“知道 CVE-2024-5274 的漏洞存在于野外”。目前尚不清楚该缺点是否是 CVE-2024-4947 的补丁绕过,这也是 V8 中的类型混淆错误。
通过最新的修复程序,谷歌已经解决了自今年年初以来谷歌在 Chrome 中总共解决了八个零日问题——
CVE-2024-0519 - V8 中的越界内存访问CVE-2024-0519 - V8 中的越界内存访问CVE-2024-0519 - V8 CVE-2024-2886 - WebCodecs 中的释放后使用(在Pwn2Own 2024 上演示) CVE-2024-2887 - WebAssembly 中的类型混淆(在Pwn2Own 2024 上演示) CVE-2024-3159 - V8 中的越界内存访问(在Pwn2Own 2024 上演示) CVE-2024-4671 - 视觉对象中的释放后使用 CVE-2024-4761 - V8 中的越界写入 CVE-2024-4947 - V8 中的类型混淆CVE-2024-4947 - V8 中的类型混淆CVE-2024-4947 - V8
建议用户升级到 Chrome 版本 125.0.6422.112/.113(适用于 Windows 和 macOS)以及 125.0.6422.112(适用于 Linux)以缓解潜在威胁。
还建议基于 Chromium 的浏览器(如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时应用它们。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...