谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞

谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞 其中一个零日漏洞追踪编号为 CVE-2024-2887,主要存在于 WebAssembly(Wasm)开放标准中,是一个高严重性类型混乱漏洞。 安全专家 Manfred Paul 利用该漏洞制作了一个 HTML 页面,一旦用户感染,可以实现远程执行代码攻击。 第二个零日漏洞追踪编号为 CVE-2024-2886,在 CanSecWest Pwn2Own 竞赛的第二天被 KAIST 黑客实验室的 Seunghyun Lee 公布。 该漏洞属于 use-after-free 类型,主要存在于 WebCodecs API 中,而很多网页应用会调用该 API 编码、解码音频和视频内容,远程攻击者可利用该漏洞通过精心制作的 HTML 页面执行任意读 / 写操作。

相关推荐

封面图片

今年第 8 个零日漏洞,谷歌发布 Chrome 浏览器 125 紧急更新

今年第 8 个零日漏洞,谷歌发布 Chrome 浏览器 125 紧急更新 该漏洞由 Google 的 Clément Lecigne 在内部发现,追踪编号为 CVE-2024-5274,存在于负责执行 JavaScript 代码的 JavaScript 引擎 V8 中,是非常严重的“类型混乱”漏洞。 ======== NodeJS:6
封面图片

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】 6月7日消息,在6月5日的Chrome博客公告中,谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用,并发布了紧急安全更新作为回应。谷歌称,桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本,所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序,但实际上只有一个被详细说明:CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞,且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险,使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码,强烈建议用户及时更新浏览器以减轻潜在风险。
封面图片

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览:高危安全漏洞:CVE-2024-6100,为 JavaScript V8 引擎中的类型混淆问题,该漏洞由安全研究人员 @0x10n 提交,漏洞奖金为 20,000 美元高危安全漏洞:CVE-2024-6101,为 WebAssembly 中的不适当实现,该漏洞由安全研究人员 @ginggilBesel 报告,漏洞奖金为 7,000 美元高危安全漏洞:CVE-2024-6102,Dawn 中的越界内存访问,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定高危安全漏洞:CVE-2024-6103,Dawn 中的 Use-after-Free 问题,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外,谷歌内部还发现了两个漏洞并通过此版本进行修复,不过这两个漏洞的细节谷歌并没有提供,也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新,亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级: ... PC版: 手机版:
封面图片

【微软发布漏洞修复补丁,部分漏洞可使得攻击者获取系统权限】

【微软发布漏洞修复补丁,部分漏洞可使得攻击者获取系统权限】 5月10日消息,微软发布漏洞修复补丁以修复发现的38项安全漏洞,其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限;CVE-2023-29325是一个远程代码执行漏洞,允许攻击者通过发送特制电子邮件来入侵受害者的设备。
封面图片

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞 该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户,以及那些使用其他基于Chromium的浏览器,如微软Edge、Brave和Vivaldi。 这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。 其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞,这是一个高严重性的零日漏洞,正被攻击者积极滥用。在类型混淆漏洞中,程序将使用一种类型分配资源,如指针或对象,但随后将使用另一种不兼容的类型访问该资源。在某些语言中,如C和C++,该漏洞会导致越界内存访问。 这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。 theregister
封面图片

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞,这些漏洞影响了多个微软产品,包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示,这两个漏洞是上个月发现的,并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的,这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217),这些库被广泛集成到浏览器、应用和手机中,用于处理图像和视频。 微软在周一发布的中表示,已经推出了修复程序,解决了其产品中集成的 webp 和 libvpx 库的两个漏洞,并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人