近日,谷歌推出了一项紧急的Chrome浏览器更新,以修复三个高危的安全漏洞,并警告说其中一个漏洞已经被外部利用。被利用的零日漏洞标记为CVE-2024-0519,被描述为V8 JavaScript引擎中的越界内存访问问题。
谷歌已经在稳定版渠道内为客户修复了零日漏洞,并在发布公告后,向全球范围内的Windows(120.0.6099.224/225)、Mac(120.0.6099.234)和Linux(120.0.6099.224)客户推出了新的补丁。
谷歌表示,安全更新可能需要数天甚至数周才能覆盖所有受影响的客户。那些选择不手动更新互联网浏览器的人可以依靠Chrome自动检查全新的更新,并在下一次启动时进行更新。
据称,高危零日漏洞(CVE-2024-0519)是由于Chrome V8 JavaScript引擎中存在高危内存溢出弱点所致,攻击者可利用该漏洞进入超过内存边界之外的信息,从而向他们提供敏感信息的入口或触发崩溃。
MITRE公司表示,预期的标志值可能不在内存溢出的边界之内,导致需要学习的极端信息,从而引发分段错误或内存溢出。该漏洞可能会修改索引或执行指针算术,以引用内存溢出边界之外的内存位置。随后的操作将产生未定义或意外的结果。
此外,未经授权进入越界回忆CVE-2024-0519可能被利用来绕过相当于ASLR的安全机制,从而更容易通过另一个弱点实现代码执行。虽然谷歌知道CVE-2024-0519零日漏洞用于攻击,但该公司并未分享该漏洞的其他细节。
谷歌表示:“在大多数客户及时进行维修之前,可以限制漏洞细节和超链接的保存。如果该漏洞存在于不同计划所依赖的第三方库中,我们甚至可以保留限制,直到严格遵守为止。”
就在最近,谷歌还修补了V8越界写入(CVE-2024-0517)和种类混淆(CVE-2024-0518)漏洞,这些漏洞允许在受感染的小工具上执行任意代码。
几周前,谷歌发布了针对多个内存安全漏洞的补丁,这些漏洞使用户面临代码执行攻击风险。
去年,谷歌锁定了8个在攻击中被利用的Chrome零日漏洞,分别是CVE-2023-7024、CVE-2023-6345、CVE-2023-5217、CVE-2023-4863、CVE-2023-3079、CVE-2023-4762、CVE-2023-2136和CVE-2023-2033。其中一些,例如CVE-2023-4762,已被标记为零日漏洞,用于在高风险客户的脆弱系统上部署间谍软件和广告软件。这些攻击通常发生在公司发布补丁几周后。
