谷歌修复今年第五个 Chrome 0day漏洞
编译:代码卫士
该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现 CVE-2024-4671遭在野利用。”
当程序在区域完成合法操作后,在指针所指向的内存已被释放但仍然继续使用该指针时,就会发生释放后使用漏洞。因为所释放的内存可能包含不同的数据或被其它软件或组件使用,因此访问该内存可能导致数据泄露、代码执行或崩溃。
谷歌在124.0.6367.201/.202(Mac/Windows)和124.0.6367.201 (Linux) 的发布修复了该漏洞,更新将在数天或数周时间内推出。
对于“Extended Stable”渠道的用户,修复方案将在 124.0.6367.201(Mac和 Windows)中发布,将在后续推出。
Chrome 会自动更新安全更新,不过用户可确认是否运行最新版本。
这一漏洞是今年Chrome修复的第五个已遭利用漏洞,而在前五个中有三个是在2024年3月 Pwn2Own温哥华大赛中发现的。其它四个漏洞如下:
CVE-2024-0519:Chrome V8 JavaScript 引擎中存在一个高危界外内存访问漏洞,可导致远程攻击者通过特殊构造的 HTML 页面利用堆损坏,从而导致敏感信息遭越权访问。
CVE-2024-2887:WebAssembly (Wasm) 标准中存在一个高危的类型混淆漏洞,可导致攻击者利用构造的HTML页面实现远程代码执行后果。
CVE-2024-2886:web应用使用的WebCodecs API中存在一个释放后使用漏洞,可导致远程攻击者通过构造的HTML页面执行任意读写,导致远程代码执行后果。
CVE-2024-3159:Chrome V8 JavaScript 引擎中存在一个高危的界外读漏洞。远程攻击者可通过特殊构造的HTML页面访问所分配内存缓冲区之外的数据,导致堆损坏,从而导致敏感信息遭提取。
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞
https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-vulnerability-exploited-in-attacks-in-2024/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。