Google Chrome 用户应检查其浏览器是否已更新,因为 124.0.6367.207 之前的版本允许恶意行为者利用严重缺陷。在紧急安全补丁之后,谷歌发布了 Chrome 版本 125,修复了另外两个高风险缺陷。
Chrome 团队发布了稳定版本 125,其中带来了九项安全修复和其他改进。用户不应延迟此更新。
其中两个“高风险”Chrome 漏洞已包含在美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞目录中。 CISA 警告联邦机构在未来几周内解决“高风险”漏洞。
其中一个标记为CVE-2024-4761 的漏洞影响 124.0.6367.207 之前的 Chrome 版本。此“越界写入”漏洞会影响 Google Chrome 和其他基于 Chromium 的浏览器使用的 V8 JavaScript 引擎,并运行网页中包含的 JavaScript 代码。
根据国家漏洞数据库,它“允许远程攻击者通过精心设计的 HTML 页面执行越界内存写入”。
CISA 表示:“此漏洞可能会影响使用 Chromium 的多种网络浏览器,包括但不限于 Google Chrome、Microsoft Edge 和 Opera”,并将各机构的截止日期定为 2024 年 6 月 6 日。
另一个漏洞(标记为CVE-2024-4671)必须由机构更早修复,即 6 月 3 日之前。它允许远程攻击者“破坏渲染器进程,从而有可能通过精心设计的 HTML 页面执行沙箱逃逸。”此漏洞还影响许多 Chromium 浏览器。
通常,CISA 要求“高风险”漏洞在 30 天内解决,“严重风险”漏洞在 15 天内解决。
CISA 表示:“虽然 BOD 22-01 仅适用于联邦民事行政部门机构,但 CISA 强烈敦促所有组织优先考虑及时补救,以减少遭受网络攻击的风险。”
周三,谷歌宣布了另外两个高危漏洞(CVE-2024-4947和CVE 2024-4948),其中至少有一个已被利用。 V8 中的类型混淆是一个严重漏洞,远程攻击者可以通过该漏洞通过精心设计的 HTML 页面在沙盒环境中执行任意代码。
所有这些漏洞均已在最新的 Chrome 版本(Windows 和 Mac 上的 125.0.6422.60/.61 以及 Linux 上的 125.0.6422.60)中得到解决。 iOS 和 Android 上也发布了稳定版本。
发表评论
您还未登录,请先登录。
登录