谷歌瀏覽器剛剛更新。 Google 的網頁瀏覽器已在 Windows 和 Linux 上更新至版本 123.0.6312.86,在 macOS 上更新至版本 123.0.6312.87。此更新修復了七個安全漏洞,其中包括在溫哥華 Pwn2Own 活動期間被利用的兩個零日漏洞。
每年,這個會議都會聚集世界上最優秀的安全研究人員參加一場競賽,在競賽中,他們競相尋找軟體漏洞並利用它來攻擊電腦。
Chrome 和 Edge 中的兩個重大漏洞
第一個零日漏洞被列為 CVE-2024-2887,由 Manfred Paul 更新。這是 WebAssembly (Wasm) 開放標準中一個備受矚目的類型混淆漏洞。開發人員使用這種二進位指令格式將其網站原始碼編譯為針對網頁瀏覽器最佳化並提供更好效能的格式。具體來說,如果駭客利用此缺陷,則可以在目標電腦上執行任意程式碼。
此更新修復的第二個零日漏洞被識別為 CVE-2024-2886,由 KAIST 黑客實驗室的安全研究員 Seunghyun Lee 發現。這是 WebCodecs API 中的「免費使用」漏洞。網站使用此 API 對音訊和視訊內容進行編碼和解碼。如果被利用,這個零缺陷將允許攻擊者遠端執行任意程式碼。
這兩個零日漏洞不僅針對鉻合金, 但是也微軟邊緣,可能還有所有基於 Chromium 的瀏覽器。
Firefox 也受到兩個零日漏洞的影響
Chrome 和 Edge 並不是唯一在 Pwn2Own 事件期間存在兩個零日漏洞的網頁瀏覽器。火狐瀏覽器還有權利用其兩個零日漏洞。 Mozilla 基金會很快就修正了這種情況,因為 Firefox 在發現這兩個漏洞的第二天就更新了相應的安全性修補程式。
來源 : 電腦發出蜂鳴聲
