Google发布了一项新的紧急安全更新,以解决Chrome浏览器中的一个新漏洞,该漏洞被标记为CVE-2024-4947,并在本周披露。CVE-2024-4947漏洞是一种类型混淆,存在于V8 JavaScript引擎中。该漏洞由Kaspersky的Vasily Berdnikov(@vaber_b)和Boris Larin(@oct0xor)于2024年5月13日报告。
谷歌发布的公告中写道:“谷歌意识到CVE-2024-4947的利用存在于野外。” 本周,这家IT巨头修复了另外两个被积极利用的Chrome零日问题,分别是CVE-2024-4671和CVE-2024-4761。以下是今年在Chrome浏览器中被积极利用的零日漏洞列表:
-
CVE-2024-0519:Chrome JavaScript引擎中的越界内存访问。(2024年1月) CVE-2024-2887:WebAssembly中的类型混淆问题。Manfred Paul在Pwn2Own 2024中演示了此漏洞。(2024年3月)
-
CVE-2024-2886:WebCodecs中的使用后释放问题。KAIST Hacking Lab的Seunghyun Lee(@0x10n)在Pwn2Own 2024中演示了此缺陷。(2024年3月)
-
CVE-2024-3159:V8 JavaScript引擎中的越界内存访问。Palo Alto Networks的Edouard Bochin(@le_douds)和Tao Yan(@Ga1ois)在2024年3月22日的Pwn2Own 2024中演示了此缺陷。(2024年3月)
-
CVE-2024-4671:Visuals组件中的使用后释放问题(2024年5月)。CVE-2024-4761:V8 JavaScript引擎中的越界写入问题(2024年5月)。
谷歌还解决了以下漏洞:
-
高危CVE-2024-4948:Dawn中的使用后释放。2024年4月9日由wgslfuzz报告。
-
中危𝐶𝑉𝐸−2024−4949:𝑉8中的使用后释放。2024年2月24日由𝐶ℎ𝑎𝑀𝑑5−𝐻1团队的𝐺𝑎𝑛𝑗𝑎𝑛𝑔𝑍ℎ𝑜𝑢(@𝑟𝑒𝑓𝑟𝑎𝑖𝑛𝑎𝑟𝑒𝑢)报告。
-
中危CVE−2024−4949:V8中的使用后释放。2024年2月24日由ChaMd5−H1团队的GanjiangZhou(@refrainareu)报告。
-
低危CVE-2024-4950:Downloads中的不适当实现。2023年6月6日由Shaheen Fazim报告。
原文始发于微信公众号(黑猫安全):GOOGLE修复了今年第七个被积极利用的Chrome零日漏洞,这是一周内第三个被修复的漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论