谷歌最近发布了2024年的首个Chrome安全更新,以修复六个漏洞,其中有四个是由外部研究人员所报告的,这四个都是高危的内存安全漏洞。谷歌公告中未有提及此次Chrome更新中修复的漏洞是否已被利用。
Qrious Secure研究人员报告了其中的两个漏洞(CVE-2024-0222、CVE-2024-0223),分别是图形渲染引擎ANGLE中的释放后重用和堆缓冲区溢出漏洞,他们由此对每个漏洞分别获得了15000美元的赏金奖励。
第三个漏洞CVE-2024-0224是Chrome的WebAudio组件中的释放后重用漏洞,该漏洞由蚂蚁集团光年安全实验室报告,他们由此获得了10000美元的漏洞赏金。另外还有一个未说明赏金的漏洞由一位匿名研究员报告,这是WebGPU中的一个释放后重用漏洞。
尽管谷歌长期致力于改善Chrome的内存安全性,并加强了浏览器对释放后重用漏洞利用的抵御,但去年仍有数十个释放后重用漏洞记录在册,其中大多数都被评为“高危”。
释放后重用问题源自释放内存分配时未清除指针,通常会导致任意代码执行、数据损坏或拒绝服务。在Chrome中,如果攻击者针对底层操作系统或特权进程中的缺陷,则可以利用释放后重用漏洞来逃离浏览器的沙盒。
目前Chrome浏览器的最新版本(120.0.6099.199/200)已推出,用户可在Chrome浏览器设置中的“关于Chrome”选项卡中完成更新。
编辑:左右里
资讯来源:Google官网、securityweek
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):谷歌发布2024年首个安全更新,修复Chrome六个高危漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2375413.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论