黑客利用Chrome漏洞 美国网络机构敦促用户更新

阅读量46195

发布时间 : 2024-05-20 11:09:34

Google Chrome 用户应检查其浏览器是否已更新,因为 124.0.6367.207 之前的版本允许恶意行为者利用严重缺陷。在紧急安全补丁之后,谷歌发布了 Chrome 版本 125,修复了另外两个高风险缺陷。

Chrome 团队发布了稳定版本 125,其中带来了九项安全修复和其他改进。用户不应延迟此更新。

其中两个“高风险”Chrome 漏洞已包含在美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞目录中。 CISA 警告联邦机构在未来几周内解决“高风险”漏洞。

其中一个标记为CVE-2024-4761 的漏洞影响 124.0.6367.207 之前的 Chrome 版本。此“越界写入”漏洞会影响 Google Chrome 和其他基于 Chromium 的浏览器使用的 V8 JavaScript 引擎,并运行网页中包含的 JavaScript 代码。

根据国家漏洞数据库,它“允许远程攻击者通过精心设计的 HTML 页面执行越界内存写入”。

CISA 表示:“此漏洞可能会影响使用 Chromium 的多种网络浏览器,包括但不限于 Google Chrome、Microsoft Edge 和 Opera”,并将各机构的截止日期定为 2024 年 6 月 6 日。

另一个漏洞(标记为CVE-2024-4671)必须由机构更早修复,即 6 月 3 日之前。它允许远程攻击者“破坏渲染器进程,从而有可能通过精心设计的 HTML 页面执行沙箱逃逸。”此漏洞还影响许多 Chromium 浏览器。

通常,CISA 要求“高风险”漏洞在 30 天内解决,“严重风险”漏洞在 15 天内解决。

CISA 表示:“虽然 BOD 22-01 仅适用于联邦民事行政部门机构,但 CISA 强烈敦促所有组织优先考虑及时补救,以减少遭受网络攻击的风险。”

周三,谷歌宣布了另外两个高危漏洞(CVE-2024-4947和CVE 2024-4948),其中至少有一个已被利用。 V8 中的类型混淆是一个严重漏洞,远程攻击者可以通过该漏洞通过精心设计的 HTML 页面在沙盒环境中执行任意代码。

所有这些漏洞均已在最新的 Chrome 版本(Windows 和 Mac 上的 125.0.6422.60/.61 以及 Linux 上的 125.0.6422.60)中得到解决。 iOS 和 Android 上也发布了稳定版本。

本文转载自:

如若转载,请注明出处: https://cybernews.com/news/hackers-exploit-chrome-vulnerabilities-cisa-urging-update/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66