Google 已修复其 Chrome 浏览器中的一个严重零日漏洞，编号为 CVE-2024-7965。此高危漏洞影响 128.0.6613.84 之前的 Chrome 版本，已被广泛利用，促使用户立即更新其浏览器。

CVE-2024-7965 是 Chrome 使用的 V8 JavaScript 引擎中的一个漏洞。该漏洞的特点是实现不当，允许远程攻击者通过特制的 HTML 页面利用堆损坏漏洞。

该缺陷具有重大风险，CVSS 评分为 8.8，表明对受影响系统的机密性和完整性可能造成重大影响。

该漏洞由一位名为“TheDog”的安全研究人员于 2024 年 7 月 30 日报告，此后已在最新版 Chrome 中得到修补，Linux 版为 128.0.6613.84 版，Windows 和 Mac 版为 128.0.6613.84/.85 版。

谷歌已经承认该漏洞已被积极利用，并强调用户更新浏览器以减轻潜在威胁的紧迫性。

此次更新是继该公司此前发布的一篇博文之后的又一更新，该公司在文中表示已解决因 V8 类型混淆弱点而导致的另一个高严重性零日漏洞CVE-2024-7971 。

利用 CVE-2024-7965 需要用户交互，例如访问受感染的网页，这可能导致未经授权的访问或恶意代码的执行。建议组织和个人用户优先更新，以防止潜在的数据泄露和敏感信息的丢失。

此漏洞是最新 Chrome 更新中解决的一系列安全问题之一，其中包括 38 个安全修复程序。外部研究人员报告了几个高严重性漏洞，突显了为保护浏览器免受新兴威胁而不断做出的努力。

谷歌迅速采取行动修补此零日漏洞，凸显了保持软件更新以防范网络威胁的重要性。

鼓励用户启用自动更新或手动检查更新，方法是导航到 Chrome 菜单，选择“帮助”，然后选择“关于 Google Chrome”，以确保他们运行的是最新版本。

Chrome 零日漏洞将于 2024 年修复：

1. CVE-2024-0519：此漏洞是 Google Chrome 使用的 V8 JavaScript 引擎中的一个越界内存访问问题。攻击者可以利用此漏洞执行任意代码。此漏洞已通过更新到较新版本的 Chrome 得到解决。
2. CVE-2024-2887：这是 Google Chrome 的 WebAssembly 组件中的一个类型混淆漏洞。类型混淆可能导致越界内存访问，进而导致任意代码执行。此漏洞在 Pwn2Own 2024 上进行了演示，并已在 Chrome 更新中进行了修补。
3. CVE-2024-2886：此漏洞涉及 Google Chrome 的 WebCodecs 组件中的释放后使用情况。释放后使用漏洞如果被利用，可能会导致任意代码执行。此问题也在 Pwn2Own 2024 中得到演示，并在后续的 Chrome 更新中得到解决。
4. CVE-2024-3159：Google Chrome V8 JavaScript 引擎中的另一个越界内存访问漏洞。与其他越界漏洞一样，该漏洞可被利用来执行任意代码。该漏洞在 Pwn2Own 2024 上进行了演示，并已在较新的 Chrome 版本中得到修复。
5. CVE-2024-4671：这是 Google Chrome Visuals 组件中的一个释放后使用漏洞。利用此类漏洞可导致任意代码执行。此漏洞已在最近的 Chrome 更新中得到修补。
6. CVE-2024-4947：Google Chrome 的 V8 JavaScript 和 WebAssembly 引擎中存在类型混淆漏洞。此漏洞已被广泛利用，促使 Chrome 紧急更新以降低风险。
7. CVE-2024-5274：此漏洞是 Google Chrome 的 V8 JavaScript 和 WebAssembly 引擎中的一个类型混淆错误。它允许越界内存访问，可能导致任意代码执行。Google 已承认有人积极利用此漏洞，并已发布补丁。
8. CVE-2024-7971：此漏洞涉及 V8 JavaScript 引擎中的一种混淆问题，可被利用来执行任意代码。

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial