谷歌发布了 Chrome 网络浏览器的安全更新,以解决另一个 0day 安全漏洞。这是谷歌近期在Chrome中修复的第二个0day漏洞,也是自2024年3月20日发布Chrome 123以来的第三个安全更新。
Chrome 用户可能希望立即更新浏览器以保护其免受潜在攻击。
在桌面上加载 chrome://settings/help 以了解 Chrome 是否是最新的。如果您看到以下版本之一,则表示 Chrome 是最新版本:123.0.6312.105、123.0.6312.106 或 123.0.6312.107。
如果安装了旧版本,浏览器应该选择最新的安全更新。请注意,这仅适用于桌面系统。 Android 版 Chrome 更新由 Google Play 管理。
JavaScript 0day 漏洞
该漏洞是显示在 2024 年 3 月的 Pwn2Own 黑客大赛期间首次向公众公开。在安全研究人员 Edouard Bochin 和 Tao Yan 的演示下,研究人员在比赛期间利用该漏洞成功利用了 Chrome 和 Microsoft Edge。
这为他们在比赛期间赢得了 42500 美元的奖金。根据官方公告,该漏洞利用越界读取“加上一种新颖的技术”来击败V8强化并在渲染器中执行任意代码。
有关的:新的蓝牙漏洞使 iPhone 面临风险 - 以下是您需要了解的内容
其他基于 Chromium 的 Web 浏览器也受到该问题的影响,因为它影响共享组件。作为对报告的安全问题的反应,某些浏览器可能已经进行了更新。
结束语
Pwn2Own 竞赛因寻找和利用各种产品中的漏洞而臭名昭著。自从黑客竞赛开放以来,浏览器一直是一个高度优先的目标。
浏览器是一个利润丰厚的目标,因为成功的漏洞利用会带来很多机会。其范围从数据提取和浏览器内容操作到 cookie 或密码窃取。
莫兹拉微软也解决了 Firefox 和 Edge 中的 0day 漏洞,因为这些浏览器也在比赛期间被利用。
谷歌本周宣布了一个新项目,试图防止cookie被窃取。该公司希望这个项目能够成为一个新的网络标准。其核心是将 cookie 绑定到创建它们的系统。
您的浏览器是否保持最新状态?