今年第 8 个零日漏洞，谷歌发布 Chrome 浏览器 125 紧急更新

今年第 8 个零日漏洞，谷歌发布 Chrome 浏览器 125 紧急更新 该漏洞由 Google 的 Clément Lecigne 在内部发现，追踪编号为 CVE-2024-5274，存在于负责执行 JavaScript 代码的 JavaScript 引擎 V8 中，是非常严重的“类型混乱”漏洞。 ======== NodeJS:6

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了解决这个问题，谷歌紧急推出了一个安全更新，并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说，类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的 HTML 页面，利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题，并在周五发布了一个公告，提醒用户注意。 来源:

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户，以及那些使用其他基于Chromium的浏览器，如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞，这是一个高严重性的零日漏洞，正被攻击者积极滥用。在类型混淆漏洞中，程序将使用一种类型分配资源，如指针或对象，但随后将使用另一种不兼容的类型访问该资源。在某些语言中，如C和C++，该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister

Google 紧急发布 Chrome 安全更新

Google 紧急发布 Chrome 安全更新 近日，Google 针对 macOS、Windows 与 Linux 平台上的 Chrome 浏览器发布了一项关键安全更新。该更新旨在修补一个已被发现可被利用的 Zero Day 漏洞。Google 在其 Stable Channel 更新公告中提到，他们已知这个名为 CVE-2023-6345 的漏洞正被恶意利用。 这一漏洞是在上周由 Google 威胁分析小组 (TAG) 的安全研究人员发现的。虽然 Google 没有透露更多有关 CVE-2023-6345 漏洞的细节，但普遍认为这与 Skia 有关。Skia 是 Chrome 图形引擎中使用的一个开源 2D 图形库。根据 macOS 更新的说明，该漏洞允许至少一名攻击者透过恶意文件 “可能进行沙盒逃逸”，理论上可能导致任意代码执行和数据窃取。 标签: #Google #Chrone 频道: @GodlyNews1 投稿: @GodlyNewsBot

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳

谷歌正在加快 Chrome 安全更新发布的步伐

谷歌正在加快 Chrome 安全更新发布的步伐 为了更快地提供安全修复，从 Chrome 116 开始，Chrome 将每周发布稳定频道更新。 Chrome 每四个星期发布一个新的大版本更新，比如从版本 100 升级到版本 101。过去Chrome 会在中间进行一次稳定更新以解决安全问题。 现在，从 Chrome 116 开始，稳定版更新将在大版本更新之间每周发布一次。这意味着安全修复会更快地到达你身边。 Chromium是一个开源项目，为 Chrome 和许多其他浏览器提供支持。任何人都可以查看源代码、提交更改以供审核，并查看其他人所做的更改，甚至是安全错误修复。 这种开放性有利于测试修复和发现错误，但也有代价：恶意行为者可能会利用这些修复的可见性并开发漏洞来针对尚未收到修复的浏览器用户。这种对已知且已修补的安全问题的利用称为 n-day 攻击。 这就是为什么谷歌认为尽快发布安全修复以最小化这种“补丁间隔”非常重要。