據(jù)Cyber Security News消息，最近，獨立研究人員在谷歌Chrome 的 V8 JavaScript 引擎中發(fā)現(xiàn)了一個嚴重性較高的類型混淆漏洞。

該漏洞被追蹤為 CVE-2024-12053，當程序為一種數(shù)據(jù)類型分配內(nèi)存，卻錯誤地將其視為另一種數(shù)據(jù)類型時，就會出現(xiàn)類型混淆漏洞。 攻擊者可能利用此漏洞在受影響的系統(tǒng)上執(zhí)行遠程代碼，從而導致系統(tǒng)受損和數(shù)據(jù)盜竊。

谷歌已在其最新的 Chrome 更新中迅速解決了該問題，包括適用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ，以及適用于 Linux 的 131.0.6778.108版本。這些更新將在未來幾天至幾周內(nèi)推出。

雖然谷歌沒有提供利用這一漏洞進行攻擊的具體細節(jié)，但該公司通常會限制此類信息，直到大多數(shù)用戶更新了瀏覽器以降低潛在風險。

Chrome 瀏覽器的安全團隊強調(diào)了他們正在進行的內(nèi)部安全工作的重要性，通過審計、模糊處理和其他措施，他們已經(jīng)修復了各種問題。

而該漏洞的發(fā)現(xiàn)者“gal1ium”和“chluo”因此獲得了8000美元獎金，他們于2024 年 11 月 14 日對這一問題進行了報告。根據(jù)今年谷歌新發(fā)布的Chrome 漏洞賞金計劃，新的獎勵機制將發(fā)現(xiàn)重大漏洞的最高獎金提高到了25萬美元，相比之前最高4萬美元有了大幅提升。

谷歌Chrome 今年已修復了10個零日漏洞

截至今年8月26日，谷歌Chrome 已經(jīng)修復了今年的第10個零日漏洞。這些漏洞包括：

• CVE-2024-0519：Chrome 瀏覽器 V8 JavaScript 引擎存在一個嚴重的越界內(nèi)存訪問漏洞，允許遠程攻擊者通過特制的 HTML 頁面利用堆破壞，導致未經(jīng)授權(quán)訪問敏感信息。
• CVE-2024-2887：WebAssembly (Wasm) 標準中的高嚴重性類型混亂漏洞。該漏洞可導致利用偽造的 HTML 頁面進行遠程代碼執(zhí)行 (RCE) 的漏洞。
• CVE-2024-2886：網(wǎng)絡(luò)應用程序用于編碼和解碼音頻和視頻的 WebCodecs API 存在使用后即釋放漏洞。
• CVE-2024-4671：在處理瀏覽器中內(nèi)容的呈現(xiàn)和顯示的 Visuals 組件中存在一個高嚴重性的 use-after-free 缺陷。
• CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界讀取導致的高嚴重性漏洞。
• CVE-2024-4761：Chrome 瀏覽器的 V8 JavaScript 引擎中存在越界寫入問題，該引擎負責在應用程序中執(zhí)行 JS 代碼。
• CVE-2024-4947：Chrome V8 JavaScript 引擎中的類型混亂，可安裝任意代碼。
• CVE-2024-5274：Chrome 瀏覽器 V8 JavaScript 引擎的一種混亂，可能導致崩潰、數(shù)據(jù)損壞或任意代碼執(zhí)行。
• CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一個不恰當實現(xiàn)，可讓遠程攻擊者通過制作 HTML 頁面造成堆內(nèi)存損壞。
• CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在類型混亂，可讓遠程攻擊者通過制作 HTML 頁面造成堆內(nèi)存損壞。