【漏洞通告】Google Chrome 零日漏洞在野外被利用(CVE-2024-4671)
【漏洞通告】Google Chrome 零日漏洞在野外被利用(CVE-2024-4671)
GuardCyberSec 信息安全ISecurity 2024-05-11 00:00
点击上方蓝字·关注我们
漏洞概述
据报道在 Google Chrome 中发现一个漏洞,该漏洞可能允许任意代码执行。谷歌为其流行的Chrome 网络浏览器发布了紧急更新。此更新修复了恶意攻击者正在积极利用的关键零日漏洞。该漏洞被认为是高风险的,如果不加以修补,攻击者可能会在未经授权的情况下访问受影响系统上的敏感信息。成功利用此漏洞可允许在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序、查看、更改或删除数据、或创建具有完全用户权限的新帐户
。
风险等级
高
漏洞影响
适用于 Windows 和 Mac 的 Chrome 124.0.6367.201/.202 之前的 Chrome
适用于 Linux 的 Chrome 124.0.6367.20 之前的版本
解决方案
Google 已为 Windows、Mac 和 Linux桌面用户推出了 Chrome 124.0.6367.201/.202 更新。
建议所有 Chrome 用户立即升级到最新版本,以最大限度地降低可能的攻击风险。
POC公开
否,监测到在野利用
有关利用CVE-2024-4671的攻击的详细信息目前有限。
在大多数用户更新修复程序之前,Google已限制对错误详细信息的访问。
一位匿名安全研究人员向谷歌报告了该漏洞。
其他信息
这标志着谷歌在2024年迄今为止第六次修补Chrome零日漏洞。
今年4月,Google修复了另外两个零日漏洞,CVE-2024-2887和CVE-2024-2886,这两个漏洞在 Pwn2Own Vancouver 2024 黑客竞赛中被利用。
CVE-2024-2887 是 WebAssembly 中的一种混淆漏洞,用作远程代码执行漏洞的一部分,而 CVE-2024-2886 是 WebCodecs API 中的一种释放后使用缺陷,允许任意读/写访问。
今年早些时候,谷歌修补了CVE-2024-0519,这是一个被积极利用的零日漏洞,由于V8 JavaScript引擎中的越界内存访问漏洞,攻击者可以访问敏感信息或使未修补的浏览器崩溃。
另一个被积极利用的Chrome零日漏洞的发现凸显了网络浏览器带来的持续安全风险。攻击者越来越多地瞄准浏览器组件和 API 中的缺陷来破坏用户系统。
Chrome 用户应及时应用最新更新,并对任何泄露迹象保持警惕。
*漏洞
消息来源:
CVE – CVE-2024-4671 (mitre.org)
Alert! Google Chrome Zero-day Exploited in the Wild (cybersecuritynews.com)
安全资讯推荐往期发布文章
****
安全资讯
推荐
作者简介:GuardCyberSec,致力于各行业企业信息安全深度思考,关注网络安全等级保护、法律法规解读、传统网络安全研究、工业安全研究、数据安全研究等,为网络安全建设出一份力。
< END >
信息安全ISecurity
致力于信息安全体系建设
微信扫描二维码,关注我的公众号或者点击以下链接点击关注获得最新安全资讯