Google 修复 Chrome 中被广泛利用的高危漏洞 网络相关


谷歌已经推出安全修复程序,以解决其 Chrome 浏览器的一个高严重性安全漏洞,该漏洞已被广泛利用。

该漏洞被编号为CVE-2024-7971,被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。

根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述,“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。

微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。

目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息,主要是为了确保大多数用户都得到修复。

然而,这家科技巨头在一份简短的声明中承认,它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是,CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后,该公司今年在 V8 中修复的第三个类型混淆漏洞。

自 2024 年初以来,谷歌已解决了 Chrome 中的 9 个零日漏洞,其中包括在 Pwn2Own 2024 上演示的三个漏洞 -

CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用(在 Pwn2Own 2024 上演示)
CVE-2024-2887 - WebAssembly 中的类型混淆(在 Pwn2Own 2024 上演示)
CVE-2024-3159 - V8 中的越界内存访问(在 Pwn2Own 2024 上演示)
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本,将 Linux 版升级到 128.0.6613.84 版本,以减轻潜在威胁。

还建议基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时立即应用它们。


之参博客 发布于  2024-8-23 10:46