【 資安警訊 】- Google 修復了今年第五個被攻擊的 Chrome 零日漏洞

 

 發布編號 ：OIS-CTI-2024-05-003

 情資來源 ：BleepingComputer

 

 事件類型 ：攻擊、漏洞警訊公告

 

 內容說明 ：

 

Google 發布了 Chrome 瀏覽器的安全更新，以修復今年年初以來第五個被利用的零日漏洞。

 

被追蹤為 CVE-2024-4671 的高嚴重性問題是 Visuals 元件中的「釋放後使用」漏洞，該元件處理瀏覽器上內容的渲染和顯示。

 

Google透露，該漏洞由一位匿名研究人員發現並報告，已被用於攻擊。

通報寫道：「 Google 意識到存在 CVE-2024-4671 漏洞」，但沒有提供更多資訊。

 

使用釋放後缺陷是當程式在該區域上完成合法操作後，在其指向的記憶體已釋放後繼續使用指標時發生的安全缺陷。

 

由於釋放的記憶體現在可能包含不同的資料或被其他軟體或元件使用，因此存取它可能會導致資料外洩、程式碼執行或崩潰。

 

Google 透過發布適用於 Mac/Windows 的 124.0.6367.201/.202 和適用於 Linux 的 124.0.6367.201 解決了該問題，更新將在未來幾天/幾週內推出。

 

對於「擴展穩定」頻道的用戶，修復程式將在適用於 Mac 和 Windows 的版本 124.0.6367.201 中提供，也將在稍後推出。

 

當安全性更新可用時，Chrome 會自動更新，但用戶可以透過前往「設定」>「關於 Chrome」來確認他們正在運行最新版本，讓更新完成，然後點擊「重新啟動」按鈕套用它。

 

自 2024 年初以來修復的 Chrome 零日漏洞的完整清單還包括以下內容：

Google Chrome 中解決的這個最新漏洞是今年的第五個漏洞，另外三個漏洞是在 2024 年 3 月溫哥華 Pwn2Own 黑客大賽中發現的。

 

 

 

自 2024 年初以來修復的 Chrome 零日漏洞的完整清單還包括以下內容：

 

CVE-2024-0519 ： Chrome V8 JavaScript 引擎中存在高嚴重性的越界記憶體存取漏洞，允許遠端攻擊者透過特製的 HTML 頁面利用堆疊損壞，從而導致對敏感資訊進行未經授權的存取。

CVE-2024-2887 ： WebAssembly (Wasm) 標準中的一個高嚴重性類型混淆缺陷。它可能會導致利用精心設計的 HTML 頁面進行遠端程式碼執行 (RCE) 攻擊。

CVE-2024-2886 ： Web 應用程式用於編碼和解碼音訊和視訊的 WebCodecs API 中存在釋放後使用漏洞。遠端攻擊者利用它透過精心設計的 HTML 頁面執行任意讀寫，從而導致遠端程式碼執行。

CVE-2024-3159 ： 由 Chrome V8 JavaScript 引擎中的越界讀取所引起的高嚴重性漏洞。遠端攻擊者利用此缺陷，使用特製的 HTML 頁面存取分配的記憶體緩衝區之外的數據，從而導致堆損壞，可利用該損壞來提取敏感資訊。

 

 

影響平台 ：

 

●   用戶使用Chrome瀏覽器時，將可能會導致出現異常當機或受限制等狀況。

 

 

 建議措施 ：

 

●   當安全性更新可用時，Chrome 會自動更新，但用戶可以透過前往「設定」>「關於 Chrome」來確認他們正在運行最新版本，讓更新完成，然後點擊「重新啟動」按鈕套用它。