Chrome 120 修补了 10 个漏洞

谷歌周二宣布向稳定渠道发布 Chrome 120，并修复了 10 个漏洞。

根据Google 的公告，在已解决的问题中，有 5 个是由外部研究人员报告的，他们获得了总计 15,000 美元的错误赏金奖励。

根据所发放的奖励，最严重的缺陷是 CVE-2023-6508，这是 Media Stream 中的一个高严重性的释放后使用问题。谷歌表示已为该漏洞支付了 10,000 美元。

接下来是 CVE-2023-6509，这是一个影响 Chrome 侧面板搜索组件的高严重性释放后使用缺陷。

最新的浏览器版本还解决了媒体捕获中的一个中等严重性的释放后使用漏洞，以及自动填充和 Web 浏览器 UI 中的两个低严重性的不当实施缺陷。

释放内存分配后未清除指针时发生的一种内存损坏错误，释放后使用问题可能导致任意代码执行、数据损坏或拒绝服务。

当与其他漏洞结合使用时，释放后使用缺陷可能会被利用来完全破坏系统。

在 Chrome 中，释放后使用漏洞可被利用来逃离沙箱。然而，为此，需要利用底层操作系统或特权进程中的安全缺陷。

谷歌长期以来一直在与内存损坏漏洞作斗争，去年宣布改进了对 Chrome 中释放后使用漏洞的利用的保护措施。

最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.62，适用于 Windows 的版本为 120.0.6099.62/.63。

谷歌还宣布已将 Chrome 扩展稳定通道更新至 macOS 版本 120.0.6099.62 和 Windows 版本 120.0.6099.63。

这家互联网巨头没有提及任何已解决的漏洞被用于恶意攻击。上周，谷歌推出了 Chrome 安全更新，以解决 CVE-2023-6345，这是 2023 年浏览器中记录的 第七个零日漏洞。

原文始发于微信公众号（祺印说信安）：Chrome 120 修补了 10 个漏洞