谷歌浏览器刚刚更新。 Google 的网络浏览器已在 Windows 和 Linux 上更新至版本 123.0.6312.86,在 macOS 上更新至版本 123.0.6312.87。此更新修复了七个安全漏洞,其中包括在温哥华 Pwn2Own 活动期间被利用的两个零日漏洞。
每年,这个会议都会聚集世界上最优秀的安全研究人员参加一场竞赛,在竞赛中,他们竞相寻找软件漏洞并利用它来攻击计算机。
Chrome 和 Edge 中的两个重大漏洞
第一个零日漏洞被列为 CVE-2024-2887,由 Manfred Paul 更新。这是 WebAssembly (Wasm) 开放标准中一个备受瞩目的类型混淆漏洞。开发人员使用这种二进制指令格式将其网站源代码编译为针对网络浏览器优化并提供更好性能的格式。具体来说,如果黑客利用此缺陷,则可以在目标计算机上执行任意代码。
此更新修复的第二个零日漏洞被识别为 CVE-2024-2886,由 KAIST 黑客实验室的安全研究员 Seunghyun Lee 发现。这是 WebCodecs API 中的“免费使用”漏洞。网站使用此 API 对音频和视频内容进行编码和解码。如果被利用,这个零缺陷将允许攻击者远程执行任意代码。
这两个零日漏洞不仅针对铬合金, 但是也微软边缘,可能还有所有基于 Chromium 的浏览器。
Firefox 也受到两个零日漏洞的影响
Chrome 和 Edge 并不是唯一在 Pwn2Own 事件期间存在两个零日漏洞的网络浏览器。火狐浏览器还有权利用其两个零日漏洞。 Mozilla 基金会很快就纠正了这种情况,因为 Firefox 在发现这两个漏洞的第二天就更新了相应的安全补丁。
来源 : 电脑发出蜂鸣声