WordPress
今天,Google宣布,它修復了 2024 年攻擊者或安全研究人員在客競賽中廣泛利用的第十個零日漏洞。
此漏洞的編號為 CVE-2024-7965,由一位名為 TheDog 的安全研究人員報告,現已修復的高嚴重性漏洞是由編譯器選擇即時 (JIT) 產生指令時的錯誤引起的。
Google 報告漏洞描述為 Google Chrome 的 V8 JavaScript 引擎中的不當實現,可讓最終攻擊者利用設計的 HTML 頁面利用造成的損壞。
這是在部落格文章的更新中宣布的,該公司上週已確認,它已經修復了由 V8 類型漏洞漏洞引起的另一個高嚴重性零日漏洞 (CVE-2024-7971)。
該公司在今天的更新中表示:「已於 2024 年 8 月 26 日更新,以反映此版本發布後報告的 CVE-2024-7965 的野外利用情況。」「Google 意識到 CVE-2024-7971 和 CVE -2024-7965 的漏洞存在。
Google 已經修復了適用於 Windows/macOS 系統的 Chrome 版本 128.0.6613.84/.85 和版本 128.0.6613.84 Linux 用戶的零日漏洞,自周三以來已向穩定桌面頻道的所有用戶發起。
儘管Chrome會在安全性修復可用時自動更新,但您也可以加速此過程並手動更新,方法是前往Chrome選單>說明>關於Google Chrome,讓更新完成,然後按一下「重新啟動」按鈕即可手動應用程式更新。
雖然Google確認CVE-2024-7971和CVE-2024-7965漏洞已被廣泛使用,但尚未分享更多有關這些攻擊的資訊。
谷歌表示:“在大多數用戶更新修復程序之前,對錯誤詳細資訊和連結的訪問可能會受到限制。”
“如果其他項目同樣依賴但尚未修復的第三方庫中存在該錯誤,我們承諾保留限制。”
自今年年初以來,谷歌已經修復了另外八個被標記為攻擊或 Pwn2Own 黑客競賽中被利用的零日漏洞:
- CVE-2024-0519:Chrome V8 JavaScript引擎中存在嚴重的越界記憶體存取漏洞,允許終端攻擊者利用特製的HTML頁面進行損壞,從而導致對敏感資訊未進行授權的存取。
- CVE-2024-2887:WebAssembly (Wasm) 標準中的一個嚴重類型的衝突缺陷。
- CVE-2024-2886:用於編碼和解碼音訊和視訊的網路應用程式的WebCodecs API中存在釋放後使用漏洞。
- CVE-2024-3159:由Chrome V8 JavaScript引擎中的越界讀取導致高嚴重性漏洞。來獲取敏感資訊。
- CVE-2024-4671:處理瀏覽器中的渲染和顯示內容的視覺元件中存在嚴重的釋放後使用缺陷。
- CVE-2024-4761:Chrome 的 V8 JavaScript 引擎中的越界寫入問題,該引擎負責在應用程式中執行 JS 程式碼。
- CVE-2024-4947:Chrome V8 JavaScript 引擎中的類型混淆漏洞可在目標裝置上執行任意程式碼。
- CVE-2024-5274:Chrome 的 V8 JavaScript 引擎的類型衝突,可能導致崩潰、資料損壞或某些程式碼執行