【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】 6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户，以及那些使用其他基于Chromium的浏览器，如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞，这是一个高严重性的零日漏洞，正被攻击者积极滥用。在类型混淆漏洞中，程序将使用一种类型分配资源，如指针或对象，但随后将使用另一种不兼容的类型访问该资源。在某些语言中，如C和C++，该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】 谷歌研究人员发现有 2 个朝鲜黑客组织利用了 Chrome 浏览器中的一个远程代码执行 0 day 漏洞超过 1 月，用于攻击新闻媒体、IT 公司、加密货币和金融科技机构。Operation AppleJeus 利用同一个漏洞利用套件攻击了加密货币和金融科技行业的 85 个用户，并成功入侵了至少 2 个金融科技公司网站，并植入了隐藏的 iframe。研究人员还发现攻击者搭建了一些伪造的网站来传播木马化的加密货币应用，隐藏了 iframe 并将访问者指向漏洞利用套件。

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳

Chrome 发现严重漏洞，可导致浏览器崩溃可破坏用户数据

Chrome 发现严重漏洞，可导致浏览器崩溃可破坏用户数据 2月中旬，「零日漏洞」在Chrome 被安全研究人员发现，「零日漏洞」 (zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞，这种攻击往往具有很大的突发性与破坏性。强大如Google 也遭到这一「待遇」。 据 Google 相关证据表明，在Chrome 已经发现黑客利用该漏洞发起攻击一事，最重要的是在Chrome 浏览器Animation 代码中发现的「use after free」漏洞。该漏洞可以导致浏览器崩溃，也可以配合其他行动破坏用户数据，植入并启动恶意代码造成各种混乱。这段时间谨慎利用Chrome 里面种种程式，如果要使用，那么一定要彻底地检测它们，如果不这样做，可能会损失惨重。 让人安心点的就是， Chrome 浏览器已经准备好更新，以修补这个最为严重的高危漏洞，之后的时间里将修补另外的10个漏洞，为安全起见，请即时更新至Chrome v98.0.4758 以上。 Qooah

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新，修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新，修复界面组件 RAM 高危漏洞 CVE-2024-4671 谷歌披露，他们在 5 月 7 日接收了匿名人士报告的相关漏洞，随即展开修复工作，这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8，实际上是一个常见的“Use-after-free”类 RAM 错误，主要影响 Chrome 浏览器界面组件，允许黑客远程执行代码。