​Chrome 2024 开年首更修复 6 个漏洞

谷歌周三宣布了2024 年首个Chrome安全更新，解决了 6个漏洞，其中包括外部研究人员报告的4个漏洞。

谷歌近日发布了一份公告，其中提到了四个涉及内存安全的高严重性安全缺陷。然而，虽然这些问题都受到了高度重视，但谷歌只对其中三个提供了漏洞赏金奖励。让我们一起来看看这些安全缺陷的详情。首先，CVE-2024-0222和CVE-2024-0223两个问题，它们都出现在图形渲染引擎ANGLE中。这些问题涉及到释放后使用漏洞和堆缓冲区溢出漏洞。这两个问题由Qrious Secure的研究人员报告，并且他们每个问题都因其重要性而获得了15,000美元的漏洞赏金奖励。第三个问题是CVE-2024-0224，出现在Chrome的WebAudio组件中，同样是释放后使用缺陷。针对这个问题，谷歌向报告该漏洞的研究人员，即蚂蚁集团光年安全实验室，提供了10,000美元的漏洞赏金奖励。这些赏金奖励是谷歌对安全研究人员积极参与漏洞报告和修复工作的一种肯定，也是鼓励更多人参与网络安全事业的方式。通过这些奖励，谷歌希望能够及时发现并解决潜在的安全威胁，确保用户的在线体验更加安全可靠。

最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225，谷歌尚未透露向报告研究人员支付的错误赏金金额。当释放内存分配时未清除指针时，就会出现释放后使用问题，通常会导致任意代码执行、数据损坏或拒绝服务。在 Chrome 中，如果黑客针对底层操作系统或特权进程中的缺陷，则可以利用释放后使用错误来规避浏览器的沙箱。

谷歌长期以来一直致力于提高 Chrome 中的内存安全性，并强化了浏览器以防止利用释放后使用漏洞。尽管做出了这些努力，去年浏览器中还是记录了数十个释放后使用问题，其中大多数被评为“高危”。最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.199，适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。