curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级 curl 8.4.0 已正式，创始人 Daniel Stenberg（社区称号 bagder）已提前预告了该版本 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。 根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow)，该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 有开发者，该漏洞出现的场景是输入的域名太长，从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。 两种典型的攻击场景如下： 1、某些程序里内置 libcurl，而允许外部用户指定 socket5 代理以及输入超长的域名，则可以发起攻击 2、用户在使用 curl 或者 libcurl 时，使用了 socket5 代理，并且 http 请求到恶意服务器，并且恶意服务器返回了 http 30x 跳转，把用户访问目标指向一个超长域名从而导致溢出 详情查看： 来源：

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。 Curl 项目的维护者在一周前就了漏洞提醒，表示将在 8.4.0 版本中修复这个严重的漏洞。据维护人员称，这可能是他们长期以来见过的最严重的 curl 安全问题，同时影响到 libcurl 库和 curl 工具。 根据 Curl 作者 Daniel Stenberg 在其个人博客中的介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞(heap buffer overflow)，该漏洞(CVE-2023-38545)会导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 目前 8.4.0 版本已正式发布，建议用户和开发者立即更新。 漏洞详情：

IP/静态IP/动态IP/住宅IP/socks5

静态IP 住宅IP 原生IP 动态IP socks5 国内IP 软路由动态IP

🥉独享IP/静态IP/国内IP/住宅IP/Socks5

独享IP/静态IP/国内IP/住宅IP/Socks5

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：