谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

谷歌在本周二发布的安全公告中指出，“谷歌了解到 CVE-2024-0519在野利用的存在。”谷歌已为 Stable Desktop 渠道的用户修复该漏洞，在收到漏洞报告不到一周时间内已向全球用户推出修复版本，即 Windows (120.0.6099.224/225)、Mac (120.0.6099.234) 和 Linux (120.0.6099.224)。

尽管谷歌表示需要几天或几周的时间才能将安全更新推送给所有受影响用户，不过现在已推出。选择自动更新的用户可依靠 Chrome 的自动检查机制在下次重启浏览器时安装更新。

该高危漏洞是由 Chrome V8 JavaScript 引擎中存在界外内存访问弱点导致的，可被攻击者用于获得内存缓冲区以外的数据访问权限，从而可访问敏感数据或触发崩溃。

MITRE 解释称，“界外内存中可能不存在预期的防护措施，引发过多数据被读取，从而导致分段错误或缓冲溢出后果。该产品可能修改索引或执行指针运算，引用缓冲区边界之外的内存位置。后续的读取操作会生成未明确或未预期结果。“

除了可造成越权访问界外内存外，CVE-2024-0519还可被用于绕过防护机制如 ASLR，从而能够更容易地通过另外一个弱点实现代码执行后果。

谷歌并未透露更多详情，以便用户有更多时间打补丁。

另外，谷歌还修复了V8界外写漏洞 (CVE-2024-0517) 和类型混淆漏洞 (CVE-2024-0518)，它们可导致在受陷设备上实现任意代码执行后果。

去年，谷歌修复了已遭利用的8个 Chrome 0day 漏洞，包括CVE-2023-7024、CVE-2023-6345、CVE-2023-5217、CVE-2023-4863、CVE-2023-3079、CVE-2023-4762、CVE-2023-2136以及CVE-2023-2033。其中一些漏洞如CVE-2023-4762的补丁发布几周后，用于在高风险用户的易受攻击设备上部署间谍软件。这些高风险用户包括记者、反对党派、异见人士等。