谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞

谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞 其中一个零日漏洞追踪编号为 CVE-2024-2887,主要存在于 WebAssembly(Wasm)开放标准中,是一个高严重性类型混乱漏洞。 安全专家 Manfred Paul 利用该漏洞制作了一个 HTML 页面,一旦用户感染,可以实现远程执行代码攻击。 第二个零日漏洞追踪编号为 CVE-2024-2886,在 CanSecWest Pwn2Own 竞赛的第二天被 KAIST 黑客实验室的 Seunghyun Lee 公布。 该漏洞属于 use-after-free 类型,主要存在于 WebCodecs API 中,而很多网页应用会调用该 API 编码、解码音频和视频内容,远程攻击者可利用该漏洞通过精心制作的 HTML 页面执行任意读 / 写操作。

相关推荐

封面图片

今年第 8 个零日漏洞,谷歌发布 Chrome 浏览器 125 紧急更新

今年第 8 个零日漏洞,谷歌发布 Chrome 浏览器 125 紧急更新 该漏洞由 Google 的 Clément Lecigne 在内部发现,追踪编号为 CVE-2024-5274,存在于负责执行 JavaScript 代码的 JavaScript 引擎 V8 中,是非常严重的“类型混乱”漏洞。 ======== NodeJS:6
封面图片

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览:高危安全漏洞:CVE-2024-6100,为 JavaScript V8 引擎中的类型混淆问题,该漏洞由安全研究人员 @0x10n 提交,漏洞奖金为 20,000 美元高危安全漏洞:CVE-2024-6101,为 WebAssembly 中的不适当实现,该漏洞由安全研究人员 @ginggilBesel 报告,漏洞奖金为 7,000 美元高危安全漏洞:CVE-2024-6102,Dawn 中的越界内存访问,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定高危安全漏洞:CVE-2024-6103,Dawn 中的 Use-after-Free 问题,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外,谷歌内部还发现了两个漏洞并通过此版本进行修复,不过这两个漏洞的细节谷歌并没有提供,也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新,亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级: ... PC版: 手机版:
封面图片

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户,以及那些使用其他基于Chromium的浏览器,如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞,这是一个高严重性的零日漏洞,正被攻击者积极滥用。在类型混淆漏洞中,程序将使用一种类型分配资源,如指针或对象,但随后将使用另一种不兼容的类型访问该资源。在某些语言中,如C和C++,该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister
封面图片

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞,这些漏洞影响了多个微软产品,包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示,这两个漏洞是上个月发现的,并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的,这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217),这些库被广泛集成到浏览器、应用和手机中,用于处理图像和视频。 微软在周一发布的中表示,已经推出了修复程序,解决了其产品中集成的 webp 和 libvpx 库的两个漏洞,并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。
封面图片

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新,修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新,修复界面组件 RAM 高危漏洞 CVE-2024-4671 谷歌披露,他们在 5 月 7 日接收了匿名人士报告的相关漏洞,随即展开修复工作,这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8,实际上是一个常见的“Use-after-free”类 RAM 错误,主要影响 Chrome 浏览器界面组件,允许黑客远程执行代码。
封面图片

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞 苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。 零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。 在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题 "可能已经被积极利用了"。 这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。 这些漏洞由匿名研究人员报告,并由苹果公司在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1中修复,分别改进了输入验证和边界检查。 BleepingComputer

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人