3月28日,Google宣布Chrome瀏覽器新版本已發(fā)布,針對(duì)Windows和Mac系統(tǒng)的版本為123.0.6312.86以及123.0.6312.87,Linux用戶則使用123.0.6312.86版。
此次更新重點(diǎn)填補(bǔ)了7項(xiàng)安全漏洞,包括Pwn2Own Vancouver 2024系列活動(dòng)中所演示的兩個(gè)零日漏洞。
以下將對(duì)兩個(gè)重要漏洞進(jìn)行簡(jiǎn)要介紹:
首先,CVE-2024-2887漏洞位于WebAssembly 開放標(biāo)準(zhǔn)中,屬高危類型混亂漏洞。安全專家Manfred Paul利用此漏洞構(gòu)建了一個(gè)HTML網(wǎng)頁(yè),用戶若點(diǎn)擊該網(wǎng)頁(yè)便可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼攻擊。
其次,CVE-2024-2886漏洞由KAIST黑客實(shí)驗(yàn)室的Seunghyun Lee在CanSecWest Pwn2Own競(jìng)賽第二天才公開揭示的。這是一種use-after-free類漏洞,主要出現(xiàn)在WebCodecs API中。
許多網(wǎng)頁(yè)應(yīng)用都會(huì)調(diào)用這個(gè)API來(lái)處理音視頻內(nèi)容,因此攻擊者可以利用這個(gè)漏洞通過(guò)精心設(shè)計(jì)的HTML頁(yè)面,輕松執(zhí)行讀/寫操作。
-
Google
+關(guān)注
關(guān)注
5文章
1765瀏覽量
57536 -
瀏覽器
+關(guān)注
關(guān)注
1文章
1025瀏覽量
35364 -
Chrome
+關(guān)注
關(guān)注
0文章
344瀏覽量
18041
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論