谷歌又一次修复了Chrome零日漏洞
关键要点
谷歌已经修复了本月第四个,2024年第八个Chrome零日漏洞。漏洞类型为类型混淆,影响Chrome的V8 JavaScript引擎。该漏洞CVE20245274可能导致跨站脚本、访问控制绕过等问题。研究人员已经发现该漏洞在网络上被利用。用户需要及时重启浏览器以应用更新,强调了网络安全教育的重要性。谷歌近期发布了本月第四个、2024年第八个Chrome零日漏洞修复方案,这一消息引起了安全界的广泛关注。在5月23日的博客文章中,谷歌提到此漏洞CVE20245274属于类型混淆漏洞,发生在Chrome的V8 JavaScript引擎中,该引擎负责执行JS代码。
什么是类型混淆?
类型混淆是指攻击者修改变量的类型,以触发意外行为。这种情况可能导致多种绕过机制和漏洞,例如跨站脚本攻击、访问控制绕过和拒绝服务攻击等。
该漏洞由谷歌威胁分析小组的Clment Lecigne和Chrome安全部门的Brendon Tiszka于5月20日提交报告。谷歌表示他们已经知晓该漏洞在网络上存在被利用的情况。
“Google Chrome因其广泛的使用而成为攻击者的主要目标,”Critical Start的高级威胁研究经理Callie Guenther说道。她同时还是SC媒体专栏作者。
Guenther指出,漏洞多样性如类型混淆和使用后释放问题,反映出现代浏览器的复杂性,往往导致安全漏洞的出现。她认为谷歌快速修复这些漏洞展现了其应对安全威胁的强大能力,但每周安全更新的频率变化则暗示着漏洞发现或利用尝试的增加。
“类似漏洞的重复利用表明攻击者可能正集中于Chrome架构的特定组件,这可能提供有关威胁模式的战略情报,”Guenther解释说。她还指出,“尽管谷歌在努力,但这些补丁的有效性在很大程度上取决于用户重启浏览器以应用更新,这突显了持续进行网络安全教育的重要性。”
Bambenek Consulting的总裁John Bambenek补充道,由于该漏洞已在网络上被积极利用,我们可以推断攻击者已经完全了解如何进行远程代码执行攻击。
“考虑到最近漏洞频繁出现,漏洞编写者似乎对谷歌Chrome的内部架构有一些我们所不了解的信息,”Bambenek表示。“因此,组织和用户应该立即更新Chrome和Edge。”
旋风加速器免费版Approov的首席执行官Ted Miracco也提到,由于Chrome是一个开源项目,全球开发者共同参与其中,这种协作努力可以增强安全审查流程,但Miracco表示这也意味着任何贡献者都可能引入新的漏洞。
“虽然我们不能完全将Chrome中的每个漏洞归咎于谷歌,但作为主要维护者,谷歌在确保强有力的安全措施、及时解决漏洞和维护与用户之间的透明沟通等方面负有重要责任,”Miracco总结道。
