據(jù)Cyber Security News消息，最近，獨(dú)立研究人員在谷歌Chrome 的 V8 JavaScript 引擎中發(fā)現(xiàn)了一個(gè)嚴(yán)重性較高的類型混淆漏洞。

該漏洞被追蹤為 CVE-2024-12053，當(dāng)程序?yàn)橐环N數(shù)據(jù)類型分配內(nèi)存，卻錯(cuò)誤地將其視為另一種數(shù)據(jù)類型時(shí)，就會(huì)出現(xiàn)類型混淆漏洞。 攻擊者可能利用此漏洞在受影響的系統(tǒng)上執(zhí)行遠(yuǎn)程代碼，從而導(dǎo)致系統(tǒng)受損和數(shù)據(jù)盜竊。

谷歌已在其最新的 Chrome 更新中迅速解決了該問題，包括適用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ，以及適用于 Linux 的 131.0.6778.108版本。這些更新將在未來(lái)幾天至幾周內(nèi)推出。

雖然谷歌沒有提供利用這一漏洞進(jìn)行攻擊的具體細(xì)節(jié)，但該公司通常會(huì)限制此類信息，直到大多數(shù)用戶更新了瀏覽器以降低潛在風(fēng)險(xiǎn)。

Chrome 瀏覽器的安全團(tuán)隊(duì)強(qiáng)調(diào)了他們正在進(jìn)行的內(nèi)部安全工作的重要性，通過審計(jì)、模糊處理和其他措施，他們已經(jīng)修復(fù)了各種問題。

而該漏洞的發(fā)現(xiàn)者“gal1ium”和“chluo”因此獲得了8000美元獎(jiǎng)金，他們于2024 年 11 月 14 日對(duì)這一問題進(jìn)行了報(bào)告。根據(jù)今年谷歌新發(fā)布的Chrome 漏洞賞金計(jì)劃，新的獎(jiǎng)勵(lì)機(jī)制將發(fā)現(xiàn)重大漏洞的最高獎(jiǎng)金提高到了25萬(wàn)美元，相比之前最高4萬(wàn)美元有了大幅提升。

谷歌Chrome 今年已修復(fù)了10個(gè)零日漏洞

截至今年8月26日，谷歌Chrome 已經(jīng)修復(fù)了今年的第10個(gè)零日漏洞。這些漏洞包括：

• CVE-2024-0519：Chrome 瀏覽器 V8 JavaScript 引擎存在一個(gè)嚴(yán)重的越界內(nèi)存訪問漏洞，允許遠(yuǎn)程攻擊者通過特制的 HTML 頁(yè)面利用堆破壞，導(dǎo)致未經(jīng)授權(quán)訪問敏感信息。
• CVE-2024-2887：WebAssembly (Wasm) 標(biāo)準(zhǔn)中的高嚴(yán)重性類型混亂漏洞。該漏洞可導(dǎo)致利用偽造的 HTML 頁(yè)面進(jìn)行遠(yuǎn)程代碼執(zhí)行 (RCE) 的漏洞。
• CVE-2024-2886：網(wǎng)絡(luò)應(yīng)用程序用于編碼和解碼音頻和視頻的 WebCodecs API 存在使用后即釋放漏洞。
• CVE-2024-4671：在處理瀏覽器中內(nèi)容的呈現(xiàn)和顯示的 Visuals 組件中存在一個(gè)高嚴(yán)重性的 use-after-free 缺陷。
• CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界讀取導(dǎo)致的高嚴(yán)重性漏洞。
• CVE-2024-4761：Chrome 瀏覽器的 V8 JavaScript 引擎中存在越界寫入問題，該引擎負(fù)責(zé)在應(yīng)用程序中執(zhí)行 JS 代碼。
• CVE-2024-4947：Chrome V8 JavaScript 引擎中的類型混亂，可安裝任意代碼。
• CVE-2024-5274：Chrome 瀏覽器 V8 JavaScript 引擎的一種混亂，可能導(dǎo)致崩潰、數(shù)據(jù)損壞或任意代碼執(zhí)行。
• CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一個(gè)不恰當(dāng)實(shí)現(xiàn)，可讓遠(yuǎn)程攻擊者通過制作 HTML 頁(yè)面造成堆內(nèi)存損壞。
• CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在類型混亂，可讓遠(yuǎn)程攻擊者通過制作 HTML 頁(yè)面造成堆內(nèi)存損壞。