谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞

谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞谷歌已经为Windows、Mac和Linux用户发布了Chrome99.0.4844.84，以解决一个被实际利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说：谷歌知道CVE-2022-1096的一个漏洞被利用。99.0.4844.84版本已经在稳定的桌面频道中向全球推出，谷歌表示，直到它到达整个用户群可能需要一个星期的时间。今天修复的零日漏洞（被追踪为CVE-2022-1096）是ChromeV8JavaScript引擎的一个高严重性的类型混淆弱点，由一名匿名安全研究员报告。虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃，通过读取或写入超出缓冲区的内存，攻击者也可以利用它们来执行任意代码。即使谷歌说它检测到这一零日漏洞的攻击，该公司也没有分享有关这些事件的技术细节或其他信息。——Bleepingcomputer

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新，修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌Chrome浏览器获推124.0.6367.201/202更新，修复界面组件RAM高危漏洞CVE-2024-4671https://www.ithome.com/0/767/183.htm谷歌披露，他们在5月7日接收了匿名人士报告的相关漏洞，随即展开修复工作，这项CVE-2024-4671漏洞CVSS评分为8.8，实际上是一个常见的“Use-after-free”类RAM错误，主要影响Chrome浏览器界面组件，允许黑客远程执行代码。

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】2023年04月17日10点58分4月17日消息，Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞（CVE编号：CVE-2023-2033），利用该漏洞，受害者只要浏览了攻击者精心构造的恶意页面，攻击者即可在受影响的设备上执行任意代码，所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等，建议立即升级以避免被攻击。如果使用的是诸如MicrosoftEdge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话，也需要升级至带有最新版本。（SecurityOnline）

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞1月15日消息，网络安全公司ImpervaRed近日披露了存在于Chrome/Chromium浏览器上的漏洞细节，并警告称全球超过25亿用户的数据面临安全威胁。该公司表示，这个追踪编号为CVE-2022-3656的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。ImpervaRed将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。ImpervaRed表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。在GoogleChrome的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。博文中写道：“这些密钥实际上是一个zip文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。ImpervaRed表示，它已将该漏洞通知谷歌，该问题已在Chrome108中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。src:果核剥壳