谷歌推出了最新的 Chrome 128 更新,解决了五个安全漏洞,其中包括外部研究人员报告的四个高严重性内存安全问题。这些漏洞是在 8 月底 Chrome 128 稳定版发布后报告的。
关键漏洞概述
其中最严重的漏洞是 CVE-2024-8636,这是 Skia(Chrome 使用的 2D 图形引擎)中的堆缓冲区溢出漏洞。攻击者可能通过利用该漏洞导致内存损坏,从而执行恶意代码。
另一个重要漏洞是 CVE-2024-8637,这是 Chrome 的 Media Router 中的 释放后使用 漏洞。该类漏洞是由于内存释放后处理不当导致的,可能引发代码执行、数据损坏或拒绝服务攻击。与其他缺陷结合使用时,可能会导致沙盒逃逸,赋予攻击者更高的系统控制权限。
第三个由外部研究人员报告的漏洞是 CVE-2024-8638,这是 V8 JavaScript 引擎中的 类型混淆 问题。该漏洞可能导致程序意外行为、崩溃,甚至远程代码执行,给用户带来严重风险。
最后一个外部报告的漏洞是 CVE-2024-8639,这是 Chrome 自动填充功能中的另一个 释放后使用 漏洞。与 Media Router 的问题类似,该漏洞也可能导致代码执行等安全风险。
漏洞赏金和更新发布
谷歌已对前两个漏洞发放了分别为 15,000 美元和 11,000 美元的漏洞赏金,但后两个漏洞的赏金金额尚未确定。
此次更新现已可用,Windows 和 macOS 用户可以下载 128.0.6613.137/.138 版本,Linux 用户则可下载 128.0.6613.137 版本。
用户需尽快更新
虽然谷歌尚未确认这些安全漏洞是否已被利用,但建议用户尽快更新浏览器,以确保系统安全。
这是几周内第三次 Chrome 128 更新,前两次更新已修复了八个漏洞,其中六个也是由外部研究人员报告的。
随着 Chrome 继续成为攻击者的热门目标,及时更新浏览器对于维持安全性和保护个人数据至关重要。
4o
