谷歌周三宣布了 2024 年首个 Chrome 安全更新，解决了 6 个漏洞，其中包括外部研究人员报告的 4 个漏洞。

谷歌在其公告中指出，外部报告的所有四个安全缺陷都是高严重性内存安全缺陷，但仅针对其中三个提供了错误赏金奖励。

前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223，是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。

这两个问题均由 Qrious Secure 研究人员报告，他们每个问题都获得了 15,000 美元的漏洞赏金奖励。

第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示，针对该漏洞，它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。

最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225，谷歌尚未透露向报告研究人员支付的错误赏金金额。

当释放内存分配时未清除指针时，就会出现释放后使用问题，通常会导致任意代码执行、数据损坏或拒绝服务。

在 Chrome 中，如果黑客针对底层操作系统或特权进程中的缺陷，则可以利用释放后使用错误来规避浏览器的沙箱。

谷歌长期以来一直致力于提高 Chrome 中的内存安全性，并强化了浏览器以防止利用释放后使用漏洞。

尽管做出了这些努力，去年浏览器中还是记录了数十个释放后使用问题，其中大多数被评为“高危”。

最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.199，适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292401

封面来源于网络，如有侵权请联系删除