IT之家 3 月 28 日消息,谷歌本周二發(fā)布了 Chrome 瀏覽器更新,Windows 和 Mac 版為 123.0.6312.86/.87,Linux 用戶為 123.0.6312.86。
本次 Chrome 瀏覽器更新重點(diǎn)修復(fù)了 7 個(gè)安全漏洞,其中包括兩個(gè)在 Pwn2Own Vancouver 2024 黑客大賽中演示的兩個(gè)零日漏洞,IT之家簡要介紹下兩個(gè)漏洞情況如下:
其中一個(gè)零日漏洞追蹤編號(hào)為 CVE-2024-2887,主要存在于 WebAssembly(Wasm)開放標(biāo)準(zhǔn)中,是一個(gè)高嚴(yán)重性類型混亂漏洞。
安全專家 Manfred Paul 利用該漏洞制作了一個(gè) HTML 頁面,一旦用戶感染,可以實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼攻擊。
第二個(gè)零日漏洞追蹤編號(hào)為 CVE-2024-2886,在 CanSecWest Pwn2Own 競賽的第二天被 KAIST 黑客實(shí)驗(yàn)室的 Seunghyun Lee 公布。
該漏洞屬于 use-after-free 類型,主要存在于 WebCodecs API 中,而很多網(wǎng)頁應(yīng)用會(huì)調(diào)用該 API 編碼、解碼音頻和視頻內(nèi)容,遠(yuǎn)程攻擊者可利用該漏洞通過精心制作的 HTML 頁面執(zhí)行任意讀 / 寫操作。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。