Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day

Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day WebP 编解码器中发现了重大漏洞，促使包括 Google 和 Mozilla 在内的主要浏览器加快发布更新来解决该问题。 这个新发现的漏洞，被标识为CVE-2023-4863，涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。 包含修复程序的软件版本号如下： Chrome版本 116.0.5846.187（Mac / Linux）；Chrome版本 116.0.5845.187/.188（Windows） : Firefox 117.0.1；Firefox ESR 102.15.1；Firefox ESR 115.2.1；Thunderbird 102.15.1；Thunderbird 115.2.2 Edge版本 116.0.1938.81 Brave 浏览器版本 1.57.64 请尽快更新到以上新版本。

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞 基于安全性考虑通常新版本发布时谷歌不会立即透露漏洞的完整细节避免更多黑客利用漏洞展开攻击，待大多数用户已经更新到不受影响的版本时，谷歌才会逐渐向研究人员和公众披露漏洞细节。此次修复的这枚漏洞编号为 CVE-2024-4671，漏洞位于视觉组件中，属于 Use-after-free 类的安全漏洞，由匿名安全研究人员在 5 月 8 日报告给谷歌。如此快发布更新进行修复的原因在于，谷歌已经意识到已经有黑客在野外利用这类漏洞发起攻击，所以谷歌接到通报后就立即着手修复并发布新版本。需要提醒的是此漏洞影响 Chromium 浏览器 / 内核，因此接下来基于 Chromium 开发的浏览器包括但不限于 Microsoft Edge、Vivaldi、Opera、Brave 等浏览器也都需要发布新版本修复该漏洞。建议使用其他 Chromium 浏览器的用户也注意开发商发布的更新，如果有更新最好立即安装避免漏洞遭到利用影响安全性。注：124.0.6367.202 版适用于 Windows 和 Mac，124.0.6367.201 版适用于 Linux 系统。 ... PC版： 手机版：

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳

Google修复已被利用的Chrome漏洞CVE-2023-5217

Google修复已被利用的Chrome漏洞CVE-2023-5217 据媒体9月27日报道，Google发布紧急安全更新，修复了今年第5个被利用的Chrome漏洞（CVE-2023-5217）。该漏洞源于开源libvpx视频编解码器库的VP8编码中的堆缓冲区溢出漏洞，可能导致应用程序崩溃和任意代码执行。Google TAG透露，该漏洞被利用来安装间谍软件。虽然Google称，修复版本可能需要几天或几周才能覆盖整个用户群，但研究人员检查更新时发现立即可用，而且浏览器还将自动检查新更新并在下次启动后自动安装它们。 来源：

【神鱼提示紧急更新Chrome浏览器，以避免Metamask钱包遭受漏洞攻击】

【神鱼提示紧急更新Chrome浏览器，以避免Metamask钱包遭受漏洞攻击】 3月27日消息，神鱼在社交媒体发文称，麻利升级下chrome及chrome内核的浏览器，重大安全漏洞，尤其是装了小狐狸的。对此，有用户对此评论神鱼称，看到你的微博升级了，可还是被盗了。

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：