Google发现5月份第四个Chrome零日漏洞正在遭受攻击

谷歌周四推出了修复程序，以解决其 Chrome 浏览器的一个高严重度安全漏洞，该漏洞已被广泛利用。

该漏洞的 CVE 标识符为CVE-2024-5274，与V8 JavaScript 和WebAssembly 引擎中的类型混淆错误有关。该漏洞由 Google 威胁分析小组的Clément Lecigne 和Chrome 安全部门的 Brendon Tiszka 于2024 年5 月20 日报告。当程序尝试访问具有不兼容类型的资源时，就会发生类型混淆漏洞。它可能会导致严重后果，因为它允许威胁者执行越界内存访问、导致崩溃并执行任意代码。继CVE-2024-4671、CVE-2024-4761和CVE-2024-4947之后，此漏洞是谷歌本月初以来修补的第四个零日漏洞。该科技巨头并未透露有关该漏洞的更多技术细节，但承认“已知CVE-2024-5274 漏洞已经流行在外”。目前尚不清楚该漏洞是否是 CVE-2024-4947 的补丁绕过方法，后者也是 V8 中的一个类型混淆漏洞。

通过最新的修复，谷歌自今年年初以来已在 Chrome 中解决了总共 8 个零日漏洞，分别是：
CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用（在 Pwn2Own 2024 上演示）
CVE-2024-2887 - WebAssembly 中的类型混淆（在 Pwn2Own 2024 上演示）
CVE-2024-3159 - V8 中的越界内存访问（在 Pwn2Own 2024 上演示）
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆

建议用户将Windows 和macOS 版 Chrome 升级到125.0.6422.112/.113 版本，将 Linux 版升级到125.0.6422.112 版本，以减轻潜在威胁。还建议使用基于Chromium 的浏览器（例如Microsoft Edge、Brave、Opera 和Vivaldi）的用户在修复程序可用时立即应用它们。