企業網站
今天,Google 發布了新的 Chrome 緊急安全更新,以修復標記為被利用攻擊的零日漏洞。
該公司在周三發布的一份公告中表示:“谷歌意識到 CVE-2024-7971 的漏洞存在。”
這個高嚴重性的零日漏洞是由 Chrome V8 JavaScript 引擎中的類型錯誤漏洞引起的。
儘管此類安全缺陷通常會導致攻擊者將資料分配到記憶體中,並在觸發瀏覽器崩潰後解釋為不同類型,但他們也可以在運行時未修復的瀏覽器的目標裝置上執行任何程式。
Google 已修復了零日漏洞,發布了適用於 Windows/macOS 的 128.0.6613.84/.85 和 128.0.6613.84 (Linux),這些版本將在未來幾週內在穩定桌面頻道中向所有用戶推出。
雖然Chrome會在安全性修復程式可用時自動更新,但使用者也可以透過前往Chrome選單>說明>關於Google Chrome來加速更新過程,讓更新完成,然後按一下「重新啟動」按鈕進行安裝。
當 BleepingComputer 今天尋找新的更新時,今天的更新立即可用。
儘管Google確認CVE-2024-7971漏洞被用於攻擊,但該公司尚未分享更多有關現場利用的資訊。
谷歌表示:“在大多數用戶更新修復程序之前,對錯誤詳細資訊和連結的訪問可能會受到限制。”
“如果其他項目同樣依賴但尚未修復的第三方庫中存在該錯誤,我們承諾保留限制。”
CVE-2024-7971 是 Google 在 2024 年修復的第九個被漏洞利用的 Chrome 零日漏洞,今年修復的完整零日漏洞清單包括:
- CVE-2024-0519:Chrome V8 JavaScript引擎中存在嚴重的越界記憶體存取漏洞,允許終端攻擊者利用特製的HTML頁面進行損壞,從而導致對敏感資訊未進行授權的存取。
- CVE-2024-2887:WebAssembly (Wasm) 標準中的一個嚴重類型的衝突缺陷。
- CVE-2024-2886:用於編碼和解碼音訊和視訊的網路應用程式的WebCodecs API中存在釋放後使用漏洞。
- CVE-2024-3159:由Chrome V8 JavaScript引擎中的越界讀取導致高嚴重性漏洞。來獲取敏感資訊。
- CVE-2024-4671:處理瀏覽器中內容的渲染和顯示的視覺元件中存在嚴重的釋放後使用缺陷。
- CVE-2024-4761:Chrome 的 V8 JavaScript 引擎中的越界寫入問題,該引擎負責在應用程式中執行 JS 程式碼。
- CVE-2024-4947:Chrome V8 JavaScript 引擎中的類型混淆漏洞可在目標裝置上執行任意程式碼。
- CVE-2024-5274:Chrome 的 V8 JavaScript 引擎的類型衝突,可能導致崩潰、資料損壞或某些程式碼執行