5月13日Google發布電腦版Chrome更新124.0.6367.207、208,該公司表示,這個版本主要修補高風險漏洞CVE-2024-4761,這項漏洞存在於JavaScript引擎V8,為記憶體越界寫入的問題,由不具名的研究人員在9日通報,而這是今年Google修補的第6個Chrome零時差漏洞。
該公司表示,他們已經得知漏洞被用於攻擊行動的情況。由於記憶體越界寫入(或讀取)的相關弱點,有可能被拿來操縱部分記憶體並提供給更為重大的功能運用,而使得攻擊者有機會透過應用程式及使用者不具備的權限,執行任意程式碼,該公司呼籲使用者應儘速升級新版本。
不過,他們這次依然沒有透露進一步的細節,也沒有提到獎勵通報者的金額。但資安研究人員Mich宣稱,他已開發出針對Windows版瀏覽器的概念性驗證程式(PoC),將於大多數使用者完成修補後再行公布。
值得留意的是,Google才在上週發布124.0.6367.201、202版Chrome,修補另一個也被用於攻擊行動的零時差漏洞CVE-2024-4671,兩次更新間隔僅有4天,皆由不具名的研究人員通報,這也突顯針對瀏覽器弱點而來的威脅加劇的現象。
附帶一提的是,美國網路安全暨基礎設施安全局(CISA)於13日,將CVE-2024-4671列入已被用於攻擊行動的漏洞名單(KEV),並要求聯邦機構於6月3日完成修補。依照這樣的態勢看來,CVE-2024-4761應該也很快會被CISA加入KEV資料庫。
另一方面,由於CVE-2024-4761存在於JavaScript引擎V8,其他以Chromium為基礎開發的瀏覽器Edge、Brave、Opera很有可能也受到影響,用戶近期應留意開發團隊的相關公告。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20