谷歌修复今年第五个 Chrome 0day漏洞
2024-5-11 17:32:14 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。

该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现 CVE-2024-4671遭在野利用。”

当程序在区域完成合法操作后,在指针所指向的内存已被释放但仍然继续使用该指针时,就会发生释放后使用漏洞。因为所释放的内存可能包含不同的数据或被其它软件或组件使用,因此访问该内存可能导致数据泄露、代码执行或崩溃。

谷歌在124.0.6367.201/.202(Mac/Windows)和124.0.6367.201 (Linux) 的发布修复了该漏洞,更新将在数天或数周时间内推出。

对于“Extended Stable”渠道的用户,修复方案将在 124.0.6367.201(Mac和 Windows)中发布,将在后续推出。

Chrome 会自动更新安全更新,不过用户可确认是否运行最新版本。

这一漏洞是今年Chrome修复的第五个已遭利用漏洞,而在前五个中有三个是在2024年3月 Pwn2Own温哥华大赛中发现的。其它四个漏洞如下:

  • CVE-2024-0519:Chrome V8 JavaScript 引擎中存在一个高危界外内存访问漏洞,可导致远程攻击者通过特殊构造的 HTML 页面利用堆损坏,从而导致敏感信息遭越权访问。

  • CVE-2024-2887:WebAssembly (Wasm) 标准中存在一个高危的类型混淆漏洞,可导致攻击者利用构造的HTML页面实现远程代码执行后果。

  • CVE-2024-2886:web应用使用的WebCodecs API中存在一个释放后使用漏洞,可导致远程攻击者通过构造的HTML页面执行任意读写,导致远程代码执行后果。

  • CVE-2024-3159:Chrome V8 JavaScript 引擎中存在一个高危的界外读漏洞。远程攻击者可通过特殊构造的HTML页面访问所分配内存缓冲区之外的数据,导致堆损坏,从而导致敏感信息遭提取。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞

谷歌紧急修复今年第8个已遭利用的 Chrome 0day

谷歌紧急修复已遭利用的 Chrome 0day

原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-vulnerability-exploited-in-attacks-in-2024/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519462&idx=1&sn=1f7824cfd17d3489bc4ba1b37c5d974c&chksm=ea94bd8cdde3349a09b38fe57ced58ecc0d6aa9cd8270a10e3ef522071c83b0a7ae0fc2e14a6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh