最近,谷歌发出了警告,提醒用户关于其 Chrome 浏览器中的一个安全漏洞。这个漏洞被标记为 CVE-2024-7965,已经在网络上被积极利用。根据谷歌的描述,这个漏洞是一种不当实现的错误,主要存在于 V8Javascript 和 WebAssembly 引擎中。简而言之,攻击者可以通过精心制作的 HTML 页面,利用这个漏洞来进行远程攻击,从而造成堆内存损坏。
值得一提的是,这个漏洞是在2024年7月30日被一位名叫 TheDog 的安全研究员发现并报告的,因此他获得了11000美元的漏洞奖励。不过,关于利用这一漏洞的具体攻击方式或相关攻击者的信息,谷歌尚未披露。
谷歌表示,他们已经意识到 CVE-2024-7965的存在,并确认其在发布更新后就被发现正在被利用。但目前尚不清楚这个漏洞在披露之前是否已经被黑客当作零日漏洞进行攻击。为了确保安全,谷歌强烈建议用户尽快将 Chrome 浏览器更新到版本128.0.6613.84或128.0.6613.85(Windows 和 macOS)以及128.0.6613.84(Linux)。
在2024年,谷歌已经处理了多达九个零日漏洞,其中包括在 Pwn2Own2024大赛上展示的三个漏洞。这些漏洞涵盖了多个方面,如 V8引擎的越界内存访问、WebCodecs 的使用后释放等。