Chrome 零日漏洞 CVE-2024-7965 的 PoC 漏洞利用已发布

最近发现的 V8 JavaScript 引擎零日漏洞 CVE-2024-7965 的技术细节和概念验证 (PoC) 漏洞利用已公开。BI.ZONE的专家分析称，这一严重漏洞构成了重大威胁，尤其是对 Android 智能手机用户和某些 macOS 笔记本电脑而言。

8 月 26 日，谷歌透露，CVE-2024-7965 已被广泛利用，而就在几天前，他们发布了 128.0.6613.84 版本，其中包含对该漏洞的修复。当用户访问加载了特制 JavaScript 的恶意网站时，该漏洞允许攻击者控制 Chrome 的浏览器渲染器。该漏洞的 CVSS 评分为 8.8/10，被归类为高度危险。

由于 CVE-2024-7965 与 Chrome 密码管理系统中的释放后使用漏洞 CVE-2024-7964 被联合利用，情况变得更加复杂。这些漏洞让攻击者可以完全控制浏览器，从而访问密码、浏览历史记录和存储的 cookie 等敏感数据。更令人担忧的是，成功利用这些漏洞会为间谍软件的安装打开大门，间谍软件可以悄悄监视浏览器中的用户活动。

虽然谷歌已经为 Chrome 发布了补丁，但威胁并不仅限于此浏览器。所有基于 Chromium 的浏览器，包括 Microsoft Edge 等热门浏览器，都容易受到此问题的影响。

BI.ZONE 专家在分析中发现，CVE-2024-7965 专门影响运行 ARM 架构的设备，包括 2020 年 11 月后发布的 Apple 笔记本电脑和所有版本的 Android 智能手机。这大大增加了攻击面，使该漏洞成为这些设备用户的严重担忧。

该漏洞源于 JavaScript 代码执行优化过程中的不当值处理，该漏洞允许攻击者读取和写入合法内存边界之外的内容。这可能导致代码执行被劫持，使网络犯罪分子能够完全控制受感染的系统。

更令人担忧的是，如果与热门网站子域上的常见 XSS 漏洞相结合，攻击者可以窃取整个域的会话数据。例如，my.domain.com 上的会话被盗可能会导致 domain.com 及其子域中的敏感信息被盗。后果包括机密数据泄露以及用户设备上安装恶意软件。

CVE-2024-7965 的概念验证 ( PoC ) 漏洞代码的发布加剧了威胁，因为它可能使甚至不太熟练的攻击者也能利用此漏洞。

为了防止潜在的攻击，强烈建议用户立即将其浏览器更新到最新版本。

https://github.com/bi-zone/CVE-2024-7965

原文始发于微信公众号（独眼情报）：Chrome 零日漏洞 CVE-2024-7965 的 PoC 漏洞利用已发布