【 資安警訊 】- Chrome 本月修補第 4 個零時差漏洞,也是 2024 年以來第 8 個零時差漏洞
發布編號 :OIS-CTI-2024-05-005
情資來源 :iThome
事件類型 :攻擊、漏洞警訊公告
內容說明 :
繼 5 月 15 日 Chrome 發布 125.0.6422.60 /.61 版本,修補高風險零時差漏洞 CVE-2024-4947 ,23 日再度發布 125.0.6422.112 /.113 版本,這次是為了修補高風險漏洞 CVE-2024-5274 而來,請大家趕快到 Chrome 的「設定」或「說明」,點「關於 Chrome」確認版本是否更新至此版以後的版本。
CVE-2024-5274 存在 Chrome 採用的 JavaScript 引擎 V8 , Google 僅簡單描述問題是類型混淆 (Type Confusion) ,與稍早揭露的 CVE-2024-4947 屬於同類型的問題。
由該公司威脅分析事業群的 Clément Lecigne 與 Chrome Security 團隊的 Brendon Tiszka 這兩位通報,並表示已發現該漏洞已受到廣泛濫用。
回顧整個 2024 年 5 月,Chrome 至今已累積發布 4 個零時差漏洞,令人擔憂。首先是 5 月 9 日公告的 CVE-2024-4671 與 124.0.6367.201 /.202 改版,第 2 個是 5 月 13 日公告的 CVE-2024-4761 與 124.0.6367.207 /.208 改版,第 3 個是 5 月 15 日公告的 CVE-2024-4947 與 125.0.6422.60 /.61 改版,第 4 個則是最新揭露的 CVE-2024-5274 與 125.0.6422.112 /.113 改版, CVE-2024-5274 也是 Chrome 今年以來第 8 個零時差漏洞。
影響平台 :
當程式分配一塊記憶體來保存某種類型的資料但錯誤地將資料解釋為不同的類型時,就會出現「類型混淆」漏洞。這可能會導致崩潰、資料損壞以及任意程式碼執行。
建議措施 :
當安全性更新可用時,Chrome 會自動更新,但用戶可以透過前往「設定」>「關於 Chrome」來確認他們正在運行最新版本,讓更新完成,然後點擊「重新啟動」按鈕套用它。 Google 呼籲使用者應儘速升級新版本。
參考連結 :