描述文字      

某公共云盘出现“灾难级 Bug”,你保存在云盘的照片可能被他人随意观看,你还敢用公共云盘备份你的私密照片吗?

chrome 128 update

谷歌发布 Chrome 128 安全更新,解决关键内存漏洞

谷歌推出了最新的 Chrome 128 更新,解决了五个安全漏洞,其中包括外部研究人员报告的四个高严重性内存安全问题。这些漏洞是在 8 月底 Chrome 128 稳定版发布后报告的。

关键漏洞概述

其中最严重的漏洞是 CVE-2024-8636,这是 Skia(Chrome 使用的 2D 图形引擎)中的堆缓冲区溢出漏洞。攻击者可能通过利用该漏洞导致内存损坏,从而执行恶意代码。

另一个重要漏洞是 CVE-2024-8637,这是 Chrome 的 Media Router 中的 释放后使用 漏洞。该类漏洞是由于内存释放后处理不当导致的,可能引发代码执行、数据损坏或拒绝服务攻击。与其他缺陷结合使用时,可能会导致沙盒逃逸,赋予攻击者更高的系统控制权限。

第三个由外部研究人员报告的漏洞是 CVE-2024-8638,这是 V8 JavaScript 引擎中的 类型混淆 问题。该漏洞可能导致程序意外行为、崩溃,甚至远程代码执行,给用户带来严重风险。

最后一个外部报告的漏洞是 CVE-2024-8639,这是 Chrome 自动填充功能中的另一个 释放后使用 漏洞。与 Media Router 的问题类似,该漏洞也可能导致代码执行等安全风险。

漏洞赏金和更新发布

谷歌已对前两个漏洞发放了分别为 15,000 美元和 11,000 美元的漏洞赏金,但后两个漏洞的赏金金额尚未确定。

此次更新现已可用,Windows 和 macOS 用户可以下载 128.0.6613.137/.138 版本,Linux 用户则可下载 128.0.6613.137 版本。

用户需尽快更新

虽然谷歌尚未确认这些安全漏洞是否已被利用,但建议用户尽快更新浏览器,以确保系统安全。

这是几周内第三次 Chrome 128 更新,前两次更新已修复了八个漏洞,其中六个也是由外部研究人员报告的。

随着 Chrome 继续成为攻击者的热门目标,及时更新浏览器对于维持安全性和保护个人数据至关重要。

4o

Leave a Comment

Your email address will not be published. Required fields are marked *