谷歌针对 Chrome 的一个关键错误发布了 Windows 和 Mac 补丁,并将在未来几天和几周内推出 Linux 补丁。
在 4 月 24 日的一篇博客文章中,谷歌表示,该缺陷(CVE-2024-4058)是谷歌 Chrome 图形层引擎 ANGLE 中的类型混淆。这家大型技术供应商没有提及该漏洞是否在野外被利用,但SC Media 过去的报道表明,威胁行为者确实利用了 Google Chrome 中的类型混淆。
类型混淆(也称为类型操纵)作为一种攻击媒介,可能发生在使用动态类型的解释语言(例如 JavaScript 和 PHP)中。在动态类型中,变量的类型在运行时识别和更新,而不是在静态类型编程语言中的编译时。
鉴于谷歌对此缺陷给予了“严重”评级,攻击者很有可能以自动化方式启动任意代码执行或沙箱逃逸,并且几乎不需要用户交互。
谷歌称赞 Qrious Secure 的两名成员——Toan (suto) Pham 和 Bao (zx) Pham——在 4 月 2 日报告了这一严重缺陷,并为他们的发现提供了 16,000 美元的漏洞赏金。
Critical Start 的网络威胁情报研究分析师莎拉·琼斯 (Sarah Jones) 表示,获得“严重”评级意味着其可能会造成严重后果。琼斯表示,攻击者可以远程利用此缺陷,这意味着他们不需要用户单击可疑链接或下载文件即可获得访问权限。
“这让它特别令人担忧,”琼斯说。 “虽然目前技术细节仍处于保密状态,但像这样的严重漏洞可能会让攻击者在计算机上运行恶意代码或完全绕过安全功能。这可能会使用户数据面临被盗的风险,为恶意软件安装打开大门,甚至损坏个人用户系统。”
Bambenek Consulting 总裁 John Bambenek 补充说,无需交互(除了让受害者进入漏洞利用页面之外)即可利用受害者的浏览器漏洞是最严重的浏览器问题类型。
Bambenek 表示,近年来,为了提高浏览器的安全性,我们做了很多工作。
Bambenek 表示:“因此,这些问题的发生频率有所下降,但用户应立即更新其 Chrome 安装。” “威胁行为者通常需要大约 12-24 小时才能通过对补丁进行逆向工程来发起攻击,因此,如果漏洞利用尚未在野外发生,那么明天就会发生。”
发表评论
您还未登录,请先登录。
登录