fitA
谷歌紧急发布了 Chrome 浏览器的另一个安全更新。原因是在实际攻击中发现了一个严重漏洞并被积极利用。
该漏洞已收到标识符 CVE-2024-4671,并被归类为负责渲染 Web 内容的组件中的释放后使用错误。这个危险的漏洞允许攻击者在浏览器上下文中执行任意代码并彻底破坏系统。
该漏洞由一位匿名网络安全专家于 2024 年 5 月 7 日向 Google 报告。紧急建议用户将 Chrome 更新至 Windows 和 macOS 版本 124.0.6367.201/.202,以及 Linux 版本 124.0.6367.201。
谷歌确认存在针对此漏洞的利用,漏洞CVE-2024-4671已在最新版本中修复。但没有透露其在攻击中使用的详细信息或有关攻击者的信息。
自今年年初以来,该公司已经修复了 Chrome 中两个被积极利用的漏洞。
一月份,我们修复了 V8 JavaScript 和 WebAssembly 引擎中的越界数组访问问题(CVE-2024-0519,CVSS 评分:8.8),该问题可能会泄露敏感信息。
3 月份,在温哥华举行的 Pwn2Own 竞赛期间,又发现了三个漏洞:
- CVE-2024-2886 是 WebCodecs 中的释放后使用问题。
- CVE-2024-2887 – WebAssembly 中的类型混淆
- CVE-2024-3159 V8 中的越界数组访问。
还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的所有者安装可用的更新。
