【 資安警訊 】- Google 修補 Chrome 漏洞 CVE-2024-4761 ,與上一個零時差漏洞僅相隔不到一週
發布編號 :OIS-CTI-2024-05-004
情資來源 :iThome
事件類型 :攻擊、漏洞警訊公告
內容說明 :
本週一 Google 發布電腦版 Chrome 124 更新版本 124.0.6367.207、208 ,主要目的就是修補零時差漏洞 CVE-2024-4761 ,值得留意的是,該公司才在上週修補另一個零時差漏洞,兩次更新間隔僅有 4 天。
5 月 13 日 Google 布電腦版 Chrome 更新 124.0.6367.207、208 ,該公司表示,這個版本主要修補高風險漏洞 CVE-2024-4761 ,這項漏洞存在於 JavaScript 引擎 V8 ,為記憶體越界寫入的問題,由不具名的研究人員在 9 日通報,而這是今年 Google 修補的第 6 個 Chrome 零時差漏洞。
該公司表示,他們已經得知漏洞被用於攻擊行動的情況。由於記憶體越界寫入 (或讀取) 的相關弱點,有可能被拿來操縱部分記憶體並提供給更為重大的功能運用,而使得攻擊者有機會透過應用程式及使用者不具備的權限,執行任意程式碼,該公司呼籲使用者應儘速升級新版本。
不過,他們這次依然沒有透露進一步的細節,也沒有提到獎勵通報者的金額。但資安研究人員 Mich 宣稱,他已開發出針對 Windows 版瀏覽器的概念性驗證程式 (PoC) ,將於大多數使用者完成修補後再行公布。
值得留意的是, Google 才在上週發布 124.0.6367.201、202 版 Chrome ,修補另一個也被用於攻擊行動的零時差漏洞 CVE-2024-4671 ,兩次更新間隔僅有 4 天,皆由不具名的研究人員通報,這也突顯針對瀏覽器弱點而來的威脅加劇的現象。
附帶一提的是,美國網路安全暨基礎設施安全局 (CISA) 於 13 日,將 CVE-2024-4671 列入已被用於攻擊行動的漏洞名單 (KEV) ,並要求聯邦機構於 6 月 3 日完成修補。依照這樣的態勢看來, CVE-2024-4761 應該也很快會被 CISA 加入 KEV 資料庫。
另一方面,由於 CVE-2024-4761 存在於 JavaScript 引擎 V8 ,其他以 Chromium 為基礎開發的瀏覽器 Edge、Brave、Opera 很有可能也受到影響,用戶近期應留意開發團隊的相關公告。
影響平台 :
記憶體越界寫入 (或讀取) 的相關弱點,有可能被拿來操縱部分記憶體並提供給更為重大的功能運用,而使得攻擊者有機會透過應用程式及使用者不具備的權限,執行任意程式碼。
建議措施 :
當安全性更新可用時,Chrome 會自動更新,但用戶可以透過前往「設定」>「關於 Chrome」來確認他們正在運行最新版本,讓更新完成,然後點擊「重新啟動」按鈕套用它。 Google 呼籲使用者應儘速升級新版本。
參考連結 :