谷歌最近发布了2024年的首个Chrome安全更新,以修复六个漏洞,其中有四个是由外部研究人员所报告的,这四个都是高危的内存安全漏洞。谷歌公告中未有提及此次Chrome更新中修复的漏洞是否已被利用。
Qrious Secure研究人员报告了其中的两个漏洞(CVE-2024-0222、CVE-2024-0223),分别是图形渲染引擎ANGLE中的释放后重用和堆缓冲区溢出漏洞,他们由此对每个漏洞分别获得了15000美元的赏金奖励。
第三个漏洞CVE-2024-0224是Chrome的WebAudio组件中的释放后重用漏洞,该漏洞由蚂蚁集团光年安全实验室报告,他们由此获得了10000美元的漏洞赏金。另外还有一个未说明赏金的漏洞由一位匿名研究员报告,这是WebGPU中的一个释放后重用漏洞。
尽管谷歌长期致力于改善Chrome的内存安全性,并加强了浏览器对释放后重用漏洞利用的抵御,但去年仍有数十个释放后重用漏洞记录在册,其中大多数都被评为“高危”。
释放后重用问题源自释放内存分配时未清除指针,通常会导致任意代码执行、数据损坏或拒绝服务。在Chrome中,如果攻击者针对底层操作系统或特权进程中的缺陷,则可以利用释放后重用漏洞来逃离浏览器的沙盒。
目前Chrome浏览器的最新版本(120.0.6099.199/200)已推出,用户可在Chrome浏览器设置中的“关于Chrome”选项卡中完成更新。
编辑:左右里
资讯来源:Google官网、securityweek
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):谷歌发布2024年首个安全更新,修复Chrome六个高危漏洞
评论