Google最近釋出了一項緊急安全更新,以修復已確認在野外被積極利用的第八個Chrome瀏覽器零日漏洞。

這個安全問題是由Google內部的Clément Lecigne發現的,並被追踪為CVE-2024-5274。這是一個高嚴重性的V8 JavaScript引擎中的“類型混淆”漏洞,該引擎負責執行JavaScript代碼。

“Google已經知道CVE-2024-5274的利用程序在野外存在,”公司在安全公告中表示。

“類型混淆”漏洞發生在程序分配一塊記憶體來存放某種類型的數據,但錯誤地將這些數據解釋為另一種類型。這可能導致崩潰、數據損壞以及任意代碼執行。

為了保護用戶免受潛在的利用攻擊,Google尚未分享該漏洞的技術細節,並讓用戶有時間安裝修復該問題的瀏覽器版本。

“在大多數用戶更新到修復版本之前,對漏洞細節和鏈接的訪問可能會保持限制。如果該漏洞存在於第三方庫中,而其他依賴該庫的項目尚未修復,我們也會保留這些限制,”科技巨頭表示。

Chrome穩定版提供修復

Google的修復正在Chrome的穩定頻道中推出,Windows和Mac用戶將獲得版本125.0.6422.112/.113的更新,而Linux用戶將在接下來的幾週內獲得版本125.0.6422.112的更新。

Chrome會自動安裝重要的安全更新,這些更新在重新啟動瀏覽器後生效。用戶可以在設置菜單的“關於”部分確認自己是否使用了最新版本。

如果有更新可用,用戶應等待更新過程完成,然後點擊“重新啟動”按鈕以應用更新。

本月第三個被積極利用的零日漏洞

CVE-2024-5274是Google自年初以來在Chrome中修復的第八個被積極利用的漏洞,也是本月修復的第三個。

同時,Google之前決定將Chrome安全更新的發佈頻率從每週兩次減少到每週一次,以解決漏洞修補間隙問題,防止威脅行為者利用這段時間來攻擊零日漏洞。

今年早些時候修補的Chrome中被積極利用的零日漏洞包括:

  • CVE-2024-0519:一個高嚴重性的越界內存訪問漏洞,存在於Chrome V8 JavaScript引擎中,允許遠程攻擊者通過特製的HTML頁面利用堆內存損壞,從而獲取敏感信息。
  • CVE-2024-2887:WebAssembly(Wasm)標準中的高嚴重性類型混淆漏洞。攻擊者可利用特製的HTML頁面進行遠程代碼執行(RCE)攻擊。
  • CVE-2024-2886:WebCodecs API中的一個使用後釋放漏洞,該API被網頁應用用於編碼和解碼音頻和視頻。遠程攻擊者可通過特製的HTML頁面利用該漏洞進行任意讀寫,從而實現遠程代碼執行。
  • CVE-2024-3159:由Chrome V8 JavaScript引擎中的越界讀取導致的高嚴重性漏洞。遠程攻擊者可利用特製的HTML頁面訪問超出分配內存緩衝區的數據,從而造成堆內存損壞並提取敏感信息。
  • CVE-2024-4671:一個存在於Visuals組件中的高嚴重性使用後釋放漏洞,該組件負責在瀏覽器中渲染和顯示內容。
  • CVE-2024-4761:Chrome V8 JavaScript引擎中的越界寫入問題,該引擎負責執行應用中的JavaScript代碼。
  • CVE-2024-4947:Chrome V8 JavaScript引擎中的高嚴重性類型混淆漏洞,可能使攻擊者在目標設備上執行任意代碼。

作者: Wang Meihua