聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现 CVE-2024-4671遭在野利用。”
当程序在区域完成合法操作后,在指针所指向的内存已被释放但仍然继续使用该指针时,就会发生释放后使用漏洞。因为所释放的内存可能包含不同的数据或被其它软件或组件使用,因此访问该内存可能导致数据泄露、代码执行或崩溃。
谷歌在124.0.6367.201/.202(Mac/Windows)和124.0.6367.201 (Linux) 的发布修复了该漏洞,更新将在数天或数周时间内推出。
对于“Extended Stable”渠道的用户,修复方案将在 124.0.6367.201(Mac和 Windows)中发布,将在后续推出。
Chrome 会自动更新安全更新,不过用户可确认是否运行最新版本。
这一漏洞是今年Chrome修复的第五个已遭利用漏洞,而在前五个中有三个是在2024年3月 Pwn2Own温哥华大赛中发现的。其它四个漏洞如下:
-
CVE-2024-0519:Chrome V8 JavaScript 引擎中存在一个高危界外内存访问漏洞,可导致远程攻击者通过特殊构造的 HTML 页面利用堆损坏,从而导致敏感信息遭越权访问。
-
CVE-2024-2887:WebAssembly (Wasm) 标准中存在一个高危的类型混淆漏洞,可导致攻击者利用构造的HTML页面实现远程代码执行后果。
-
CVE-2024-2886:web应用使用的WebCodecs API中存在一个释放后使用漏洞,可导致远程攻击者通过构造的HTML页面执行任意读写,导致远程代码执行后果。
-
CVE-2024-3159:Chrome V8 JavaScript 引擎中存在一个高危的界外读漏洞。远程攻击者可通过特殊构造的HTML页面访问所分配内存缓冲区之外的数据,导致堆损坏,从而导致敏感信息遭提取。
原文始发于微信公众号(代码卫士):谷歌修复今年第五个 Chrome 0day漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论