2024 年 8 月 22 日
谷歌 Chrome 浏览器中的一个高严重性缺陷已被广泛利用,该公司最近发布的安全更新已修复该缺陷。该漏洞 CVE-2024-7971 被发现是 V8 JavaScript 和 WebAssembly 引擎中的类型混淆问题。
美国国家标准与技术研究院 (NIST) 国家漏洞数据库 (NVD) 报告 在版本 128.0.6613.84 之前的 V8 中存在类型混淆在 Google Chrome 中,远程攻击者可以通过特制的 HTML 页面利用堆损坏。
2024 年 8 月 19 日,微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 发现并报告了该漏洞。然而,有关利用此缺陷的攻击或威胁行为者身份的具体细节尚未披露。谷歌正在优先确保大多数用户已经通过修复更新了他们的浏览器。
Google 在一份简短声明中承认意识到 CVE-2024-7971 的漏洞利用,即目前在野外活跃。这是 Google 今年解决的 V8 中的第三个类型混淆漏洞,之前的漏洞是 CVE-2024-4947 和 CVE-2024-5274。
自 2024 年初以来,Google 总共承认了 Chrome 中的 9 个零日漏洞,其中包括在 Pwn2Own 2024 上演示的三个漏洞:
- CVE-2024-0519: V8 中的越界内存访问
- CVE-2024-2886: WebCodecs 中的释放后使用(在 Pwn2Own 2024 上演示)
- CVE-2024-2887: WebAssembly 中的类型混淆(在 Pwn2Own 2024 上演示)
- CVE-2024-3159: V8 中的越界内存访问(在 Pwn2Own 2024 上演示)
- CVE-2024-4671: 视觉效果中的释放后使用
- CVE-2024-4761: V8 中的越界写入
- CVE-2024-4947: V8 中的类型混淆
- CVE-2024-5274: V8 中的类型混淆
建议用户将 Chrome 浏览器更新至 Windows 和 macOS 版本 128.0.6613.84/.85,以及 Linux 版本 128.0.6613.84,以降低任何潜在风险。这也适用于使用基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的浏览器,并且应在更新可用后立即应用。