今年第 8 个零日漏洞，谷歌发布 Chrome 浏览器 125 紧急更新

今年第 8 个零日漏洞，谷歌发布 Chrome 浏览器 125 紧急更新 该漏洞由 Google 的 Clément Lecigne 在内部发现，追踪编号为 CVE-2024-5274，存在于负责执行 JavaScript 代码的 JavaScript 引擎 V8 中，是非常严重的“类型混乱”漏洞。 ======== NodeJS:6

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户，以及那些使用其他基于Chromium的浏览器，如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞，这是一个高严重性的零日漏洞，正被攻击者积极滥用。在类型混淆漏洞中，程序将使用一种类型分配资源，如指针或对象，但随后将使用另一种不兼容的类型访问该资源。在某些语言中，如C和C++，该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多个微软产品，包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示，这两个漏洞是上个月发现的，并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的，这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217)，这些库被广泛集成到浏览器、应用和手机中，用于处理图像和视频。 微软在周一发布的中表示，已经推出了修复程序，解决了其产品中集成的 webp 和 libvpx 库的两个漏洞，并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新，修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新，修复界面组件 RAM 高危漏洞 CVE-2024-4671 谷歌披露，他们在 5 月 7 日接收了匿名人士报告的相关漏洞，随即展开修复工作，这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8，实际上是一个常见的“Use-after-free”类 RAM 错误，主要影响 Chrome 浏览器界面组件，允许黑客远程执行代码。

微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞

微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞 微软最新的"星期二补丁"更新包括对 Internet Explorer 浏览器引擎零日漏洞的修复。该漏洞被追踪为 CVE-2024-38112，自 2023 年 1 月以来一直被未知犯罪分子利用，诱骗用户在本地未受保护的机器上运行恶意代码。CVE-2024-38112 漏洞最早由 Check Point 研究人员发现，微软将其描述为 Windows MSHTML 平台欺骗漏洞。MSHTML 也被称为 Trident，是 Internet Explorer 使用的专有浏览器引擎。Windows 11 不再使用该浏览器，但上述引擎仍包含在操作系统中，微软计划至少在 2029 年前支持该引擎。CVE-2024-38112 的严重性评级为 7.0（满分 10 分），攻击者需要采取额外行动才能确保成功利用该漏洞。微软警告说，威胁行为者必须诱使受害者下载并执行恶意文件，而用户成为攻击目标、受到攻击和实际被入侵似乎已经有一年多的时间了。Check Point分析师警告说，IE引擎不安全且已过时，针对CVE-2024-38112设计的零日漏洞利用者使用了一些巧妙的技巧来伪装他们实际想要达到的目的。犯罪分子使用一个恶意 URL 链接，看似打开一个 PDF 文档，然后在 Internet Explorer 模式下打开 Edge 浏览器 (msedge.exe)。在调用 MSHTML 后，犯罪分子本可以利用一些与 IE 相关的零日漏洞，立即获得远程代码执行权限。然而，Check Point 发现的恶意样本并不包括 IE 引擎中任何以前未知的缺陷。相反，他们使用了另一种新奇的伎俩，打开一个对话框，要求用户保存一个 PDF 文件。PDF扩展名被用来伪装恶意HTA文件，这是一个从HTML文档中调用的可执行程序，通过一个名为Microsoft HTML Application Host (mshta.exe)的工具在Windows上运行。Check Point说，事实上，CVE-2024-38112攻击的总体目标是让受害者相信他们正在打开一个PDF文件。该公司发现并散列了该活动中使用的六个恶意.url文件，建议Windows用户尽快安装最新的"补丁星期二"更新。 ... PC版： 手机版：