【安全圈】谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码
2024-12-5 19:1:0 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

关键词

安全漏洞

据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。

该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型混淆漏洞。攻击者可能利用此漏洞在受影响的系统上执行远程代码,从而导致系统受损和数据盗窃。

谷歌已在其最新的 Chrome 更新中迅速解决了该问题,包括适用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ,以及适用于 Linux 的 131.0.6778.108版本。这些更新将在未来几天至几周内推出。

虽然谷歌没有提供利用这一漏洞进行攻击的具体细节,但该公司通常会限制此类信息,直到大多数用户更新了浏览器以降低潜在风险。

Chrome 浏览器的安全团队强调了他们正在进行的内部安全工作的重要性,通过审计、模糊处理和其他措施,他们已经修复了各种问题。

而该漏洞的发现者“gal1ium”和“chluo”因此获得了8000美元奖金,他们于2024 年 11 月 14 日对这一问题进行了报告。根据今年谷歌新发布的Chrome 漏洞赏金计划,新的奖励机制将发现重大漏洞的最高奖金提高到了25万美元,相比之前最高4万美元有了大幅提升。

谷歌Chrome 今年已修复了10个零日漏洞

截至今年8月26日,谷歌Chrome 已经修复了今年的第10个零日漏洞。这些漏洞包括:

  • CVE-2024-0519:Chrome 浏览器 V8 JavaScript 引擎存在一个严重的越界内存访问漏洞,允许远程攻击者通过特制的 HTML 页面利用堆破坏,导致未经授权访问敏感信息。

  • CVE-2024-2887:WebAssembly (Wasm) 标准中的高严重性类型混乱漏洞。该漏洞可导致利用伪造的 HTML 页面进行远程代码执行 (RCE) 的漏洞。

  • CVE-2024-2886:网络应用程序用于编码和解码音频和视频的 WebCodecs API 存在使用后即释放漏洞。

  • CVE-2024-4671:在处理浏览器中内容的呈现和显示的 Visuals 组件中存在一个高严重性的 use-after-free 缺陷。

  • CVE-2024-3159:Chrome V8 JavaScript 引擎中的越界读取导致的高严重性漏洞。

  • CVE-2024-4761:Chrome 浏览器的 V8 JavaScript 引擎中存在越界写入问题,该引擎负责在应用程序中执行 JS 代码。

  • CVE-2024-4947:Chrome V8 JavaScript 引擎中的类型混乱,可安装任意代码。

  • CVE-2024-5274:Chrome 浏览器 V8 JavaScript 引擎的一种混乱,可能导致崩溃、数据损坏或任意代码执行。

  • CVE-2024-7965:Chrome  V8 JavaScript 引擎中的一个不恰当实现,可让远程攻击者通过制作 HTML 页面造成堆内存损坏。

  • CVE-2024-7971:Chrome  V8 JavaScript 引擎中存在类型混乱,可让远程攻击者通过制作 HTML 页面造成堆内存损坏。

参考来源:Google Chrome Type Confusion Vulnerability Let Attackers Execute Remote Code

   END  

阅读推荐

【安全圈】曾是全球最大暗网黑市的九头蛇市场头目被俄罗斯法院判处终身监禁

【安全圈】因涉嫌实施侵入性的监控行为,苹果公司在加州被员工起诉

【安全圈】思科安全设备ASA十年老漏洞正在被利用

【安全圈】只需几分钟,AWS密钥泄露即被利用

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652066421&idx=3&sn=28c802936604146904c583d74c14846f&chksm=f36e7e35c419f723e1439d92f0683c879d36f2c8fbb1924b0e56cf622579af6653c835a4f408&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh