谷歌周三宣布了 2024 年首个 Chrome 安全更新,解决了 6 个漏洞,其中包括外部研究人员报告的 4 个漏洞。
谷歌在其公告中指出,外部报告的所有四个安全缺陷都是高严重性内存安全缺陷,但仅针对其中三个提供了错误赏金奖励。
前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223,是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。
这两个问题均由 Qrious Secure 研究人员报告,他们每个问题都获得了 15,000 美元的漏洞赏金奖励。
第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示,针对该漏洞,它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。
最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225,谷歌尚未透露向报告研究人员支付的错误赏金金额。
当释放内存分配时未清除指针时,就会出现释放后使用问题,通常会导致任意代码执行、数据损坏或拒绝服务。
在 Chrome 中,如果黑客针对底层操作系统或特权进程中的缺陷,则可以利用释放后使用错误来规避浏览器的沙箱。
谷歌长期以来一直致力于提高 Chrome 中的内存安全性,并强化了浏览器以防止利用释放后使用漏洞。
尽管做出了这些努力,去年浏览器中还是记录了数十个释放后使用问题,其中大多数被评为“高危”。
最新的 Chrome 迭代现已推出,适用于 macOS 和 Linux 的版本为 120.0.6099.199,适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。
转自安全客,原文链接:https://www.anquanke.com/post/id/292401
封面来源于网络,如有侵权请联系删除