谷歌緊急發(fā)布 Chrome 更新，修復(fù) Pwn2Own 大賽中報告的兩個零日漏洞

IT之家 3 月 28 日消息，谷歌本周二發(fā)布了 Chrome 瀏覽器更新，Windows 和 Mac 版為 123.0.6312.86/.87，Linux 用戶為 123.0.6312.86。

本次 Chrome 瀏覽器更新重點修復(fù)了 7 個安全漏洞，其中包括兩個在 Pwn2Own Vancouver 2024 黑客大賽中演示的兩個零日漏洞，IT之家簡要介紹下兩個漏洞情況如下：

其中一個零日漏洞追蹤編號為 CVE-2024-2887，主要存在于 WebAssembly（Wasm）開放標(biāo)準(zhǔn)中，是一個高嚴(yán)重性類型混亂漏洞。

安全專家 Manfred Paul 利用該漏洞制作了一個 HTML 頁面，一旦用戶感染，可以實現(xiàn)遠程執(zhí)行代碼攻擊。

第二個零日漏洞追蹤編號為 CVE-2024-2886，在 CanSecWest Pwn2Own 競賽的第二天被 KAIST 黑客實驗室的 Seunghyun Lee 公布。

該漏洞屬于 use-after-free 類型，主要存在于 WebCodecs API 中，而很多網(wǎng)頁應(yīng)用會調(diào)用該 API 編碼、解碼音頻和視頻內(nèi)容，遠程攻擊者可利用該漏洞通過精心制作的 HTML 頁面執(zhí)行任意讀 / 寫操作。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。