杀毒软件本身存在安全漏洞早已不是新鲜事，最新一个曝出高危漏洞的杀毒是赛门铁克。

杀毒软件本身存在安全漏洞早已不是新鲜事，最新一个曝出高危漏洞的杀毒软件是赛门铁克。它的核心杀毒引擎在解析用aspack早期版本打包的可执行文件时会发生缓冲溢出。赛门铁克核心杀毒引擎被Symantec和Norton品牌的产品广泛使用。该漏洞编号为CVE-2016-2208，是一个远程代码执行漏洞，可通过向受害者发送包含文件的邮件或链接利用。在Linux、Mac或UNIX平台上，它会导致远程堆溢出；在Windows上，它会导致内核内存损坏，因为杀毒软件的扫描引擎被加载到内核中，使得它变成一个远程的ring0内存损坏漏洞。https://bugs.chromium.org/p/project-zero/issues/detail?id=820

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

GoogleChromev126.0.6478.114/.115正式版发布修复4个高危安全漏洞下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为JavaScriptV8引擎中的类型混淆问题，该漏洞由安全研究人员@0x10n提交，漏洞奖金为20,000美元高危安全漏洞：CVE-2024-6101，为WebAssembly中的不适当实现，该漏洞由安全研究人员@ginggilBesel报告，漏洞奖金为7,000美元高危安全漏洞：CVE-2024-6102，Dawn中的越界内存访问，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn中的Use-after-Free问题，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配CVE编号。使用Chrome浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级：https://dl.lancdn.com/landian/soft/chrome/m/...PC版：https://www.cnbeta.com.tw/articles/soft/1435302.htm手机版：https://m.cnbeta.com.tw/view/1435302.htm

Chrome 浏览器存在严重的安全漏洞，这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome

Chrome浏览器存在严重的安全漏洞，这个漏洞被命名为CVE-2023-2033，是一个类型混淆漏洞，出现在Chrome浏览器使用的V8JavaScript引擎中。类型混淆漏洞是一种允许使用错误的类型访问内存的Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的HTML页面，利用堆内存的损坏来执行任意代码。根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题。谷歌已经发布版本为112.0.5615.121的安全更新修复了这个漏洞，建议用户更新。()(话说那些国产套壳浏览器怎么办，也会更新吗？)频道：@TestFlightCN

英伟达公布多个驱动程序中的安全漏洞 用户需升级新版驱动

英伟达公布多个驱动程序中的安全漏洞用户需升级新版驱动今天英伟达在官网公布了这些漏洞的部分概览，含4个高危漏洞、4个中危漏洞，涉及Windows版和Linux版的显卡驱动程序。你可以在英伟达官网下载最新的驱动程序：https://www.nvidia.cn/Download/index.aspx?lang=cn下面是漏洞概览：GPU显示驱动程序CVE-2024-0071：Windows，高危，没有管理员权限的普通用户可以借助漏洞进行代码执行、拒绝服务、权限提升、信息泄露和数据篡改CVE-2024-0073：Windows，高危，内核模式中的漏洞，攻击者利用此漏洞可以代码执行、拒绝服务、权限提升、信息泄露数据篡改CVE-2024-0074：Linux，高危，攻击者利用缓冲区漏洞可以导致拒绝服务和数据篡改CVE-2024-0078：Windows/Linux，中危，内核模式中的漏洞，该漏洞可被用于触发拒绝服务攻击CVE-2024-0075：Windows/Linux，中危，驱动程序中包含的漏洞，可以导致拒绝服务以及有限的信息泄露CVE-2022-42265：Windows/Linux，中危，没有管理员权限的普通用户可以借助漏洞导致整数溢出，进而引起拒绝服务、信息泄露和数据篡改下面是漏洞概览：VGPU软件CVE-2024-0077：高危，英伟达虚拟GPU管理器中的vGPU插件存在漏洞，该漏洞允许GuestVM分配未授权资源，导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改CVE-2024-0079：中危，Windows/Linux，内核模式中的漏洞，GuestVM可以利用此漏洞触发拒绝服务。完整安全公告请看：https://nvidia.custhelp.com/app/answers/detail/a_id/5520...PC版：https://www.cnbeta.com.tw/articles/soft/1421759.htm手机版：https://m.cnbeta.com.tw/view/1421759.htm

Chrome浏览器曝高危漏洞 Google敦促30亿用户尽快更新

Chrome浏览器曝高危漏洞Google敦促30亿用户尽快更新但作为一个基于新版本推送的版本更新，它无疑将与已经停止新版Chrome支持的Windows7、Windows8.1等老版本用户无关，Google也并未向老版本系统用户给出任何解决方案。本次被发现的漏洞编号为CVE-2023-2033，它是一个出现在Chrome浏览器V8JavaScript引擎中的类型混淆漏洞。此类漏洞的本质是一种允许使用错误的类型访问内存的Bug，会导致越界读写内存。具体到CVE-2023-2033漏洞上，黑客能够利用它制作一个恶性的HTML页面，并通过堆内存的损坏来执行任意代码。...PC版：https://www.cnbeta.com.tw/articles/soft/1355183.htm手机版：https://m.cnbeta.com.tw/view/1355183.htm

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新

谷歌Pixel设备发现高危安全漏洞美国政府督促雇员限期更新谷歌Pixel本月更新披露了一个严重的安全漏洞(CVE-2024-32896)。谷歌警告说，这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少，但美国政府已经介入要求联邦雇员在7月4日之前更新他们的Pixel设备，“否则停止使用该产品。”据GrapheneOS称，这是对其在四月报告的漏洞第二部分修复，这些漏洞“正被取证公司积极利用。”该公司还表示，“该问题已通过6月更新(安卓14QPR3)在Pixel上得到修复，并将随着其他安卓设备最终升级到安卓15而修复。如果没有更新到安卓15，可能不会得到修复，因为安全补丁目前还没有向后移植。”——