重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了解决这个问题，谷歌紧急推出了一个安全更新，并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说，类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的 HTML 页面，利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题，并在周五发布了一个公告，提醒用户注意。 来源:

英伟达公布多个驱动程序中的安全漏洞 用户需升级新版驱动

英伟达公布多个驱动程序中的安全漏洞 用户需升级新版驱动 今天英伟达在官网公布了这些漏洞的部分概览，含 4 个高危漏洞、4 个中危漏洞，涉及 Windows 版和 Linux 版的显卡驱动程序。你可以在英伟达官网下载最新的驱动程序： 显示驱动程序CVE-2024-0071：Windows，高危，没有管理员权限的普通用户可以借助漏洞进行代码执行、拒绝服务、权限提升、信息泄露和数据篡改CVE-2024-0073：Windows，高危，内核模式中的漏洞，攻击者利用此漏洞可以代码执行、拒绝服务、权限提升、信息泄露数据篡改CVE-2024-0074：Linux，高危，攻击者利用缓冲区漏洞可以导致拒绝服务和数据篡改CVE-2024-0078：Windows/Linux，中危，内核模式中的漏洞，该漏洞可被用于触发拒绝服务攻击CVE-2024-0075：Windows/Linux，中危，驱动程序中包含的漏洞，可以导致拒绝服务以及有限的信息泄露CVE-2022-42265：Windows/Linux，中危，没有管理员权限的普通用户可以借助漏洞导致整数溢出，进而引起拒绝服务、信息泄露和数据篡改下面是漏洞概览：VGPU 软件CVE-2024-0077：高危，英伟达虚拟 GPU 管理器中的 vGPU 插件存在漏洞，该漏洞允许 Guest VM 分配未授权资源，导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改CVE-2024-0079：中危，Windows/Linux，内核模式中的漏洞，Guest VM 可以利用此漏洞触发拒绝服务。完整安全公告请看： ... PC版： 手机版：

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞

重要: AMD Zen 2 and Zen 3 存在 TPM 安全漏洞 柏林技术大学安全研究人员发布的一篇新论文表明，AMD 基于固件的可信平台模块 (fTPM / TPM) 可以通过电压故障注入攻击完全受损，从而允许完全访问在称为“faultTPM”的攻击中保存在 fTPM 中的加密数据。最终，这允许攻击者完全破坏任何仅依赖于基于 TPM 的安全性的应用程序或加密，例如 BitLocker。 研究人员使用成本约为 200 美元的现成组件来攻击 Zen 2 和 Zen 3 芯片中存在的 AMD 平台安全处理器 (PSP)，从而实现了这一现象。该报告没有具体说明 Zen 4 CPU 是否易受攻击，攻击确实需要对机器进行“数小时”的物理访问。研究人员还在GitHub 上分享了用于攻击的代码以及用于攻击的廉价硬件列表 注意: 此处 TPM 安全模块为 AMD CPU 内置的虚拟安全模块，并非为独立的 TPM 安全模块，但受限于额外的硬件成本和特殊地区政府管制［如中国，伊朗，俄罗斯等国家］，常规用户都不会额外购置独立模块，这将会严重影响用户设备的抗第三方攻击能力，特殊攻击者可以轻松绕过防护

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞 基于安全性考虑通常新版本发布时谷歌不会立即透露漏洞的完整细节避免更多黑客利用漏洞展开攻击，待大多数用户已经更新到不受影响的版本时，谷歌才会逐渐向研究人员和公众披露漏洞细节。此次修复的这枚漏洞编号为 CVE-2024-4671，漏洞位于视觉组件中，属于 Use-after-free 类的安全漏洞，由匿名安全研究人员在 5 月 8 日报告给谷歌。如此快发布更新进行修复的原因在于，谷歌已经意识到已经有黑客在野外利用这类漏洞发起攻击，所以谷歌接到通报后就立即着手修复并发布新版本。需要提醒的是此漏洞影响 Chromium 浏览器 / 内核，因此接下来基于 Chromium 开发的浏览器包括但不限于 Microsoft Edge、Vivaldi、Opera、Brave 等浏览器也都需要发布新版本修复该漏洞。建议使用其他 Chromium 浏览器的用户也注意开发商发布的更新，如果有更新最好立即安装避免漏洞遭到利用影响安全性。注：124.0.6367.202 版适用于 Windows 和 Mac，124.0.6367.201 版适用于 Linux 系统。 ... PC版： 手机版：

谷歌“快速分享”出现安全漏洞 新版本已修复

谷歌“快速分享”出现安全漏洞 新版本已修复 谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本，可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1，允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常，当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而，这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9，可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。 、