谷歌最近釋出了2024年的首個Chrome安全更新,以修復六個漏洞,其中有四個是由外部研究人員所報告的,這四個都是高危的記憶體安全漏洞。谷歌公告中未有提及此次Chrome更新中修復的漏洞是否已被利用。
Qrious Secure研究人員報告了其中的兩個漏洞(CVE-2024-0222、CVE-2024-0223),分別是圖形渲染引擎ANGLE中的釋放後重用和堆緩衝區溢位漏洞,他們由此對每個漏洞分別獲得了15000美元的賞金獎勵。
第三個漏洞CVE-2024-0224是Chrome的WebAudio元件中的釋放後重用漏洞,該漏洞由螞蟻集團光年安全實驗室報告,他們由此獲得了10000美元的漏洞賞金。另外還有一個未說明賞金的漏洞由一位匿名研究員報告,這是WebGPU中的一個釋放後重用漏洞。
儘管谷歌長期致力於改善Chrome的記憶體安全性,並加強了瀏覽器對釋放後重用漏洞利用的抵禦,但去年仍有數十個釋放後重用漏洞記錄在冊,其中大多數都被評為“高危”。
釋放後重用問題源自釋放記憶體分配時未清除指標,通常會導致任意程式碼執行、資料損壞或拒絕服務。在Chrome中,如果攻擊者針對底層作業系統或特權程式中的缺陷,則可以利用釋放後重用漏洞來逃離瀏覽器的沙盒。
目前Chrome瀏覽器的最新版本(120.0.6099.199/200)已推出,使用者可在Chrome瀏覽器設定中的“關於Chrome”選項卡中完成更新。
編輯:左右裡
資訊來源:Google官網、securityweek
轉載請註明出處和本文連結