Chrome 2024 开年首更修复 6 个漏洞

阅读量81612

发布时间 : 2024-01-05 11:13:35

谷歌周三宣布了 2024 年首个 Chrome 安全更新,解决了 6 个漏洞,其中包括外部研究人员报告的 4 个漏洞。

谷歌在其公告中指出,外部报告的所有四个安全缺陷都是高严重性内存安全缺陷,但仅针对其中三个提供了错误赏金奖励。

前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223,是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。

这两个问题均由 Qrious Secure 研究人员报告,他们每个问题都获得了 15,000 美元的漏洞赏金奖励。

第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示,针对该漏洞,它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。

最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225,谷歌尚未透露向报告研究人员支付的错误赏金金额。

当释放内存分配时未清除指针时,就会出现释放后使用问题,通常会导致任意代码执行、数据损坏或拒绝服务。

在 Chrome 中,如果攻击者针对底层操作系统或特权进程中的缺陷,则可以利用释放后使用错误来逃避浏览器的沙箱。

谷歌长期以来一直致力于提高 Chrome 中的内存安全性,并强化了浏览器以防止利用释放后使用漏洞。

尽管做出了这些努力,去年浏览器中还是记录了数十个释放后使用问题,其中大多数被评为“高严重性”。

最新的 Chrome 迭代现已推出,适用于 macOS 和 Linux 的版本为 120.0.6099.199,适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。

这家互联网巨头没有提及任何使用此 Chrome 更新修补的漏洞正在被广泛利用。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66