第一个0day是 CVE-2024-2887，是位于开放标准 WebAssembly 中的一个高危类型混淆漏洞。Manfred Paul 在大赛第一天演示了这个漏洞，通过构造的HTML页面即可用作双击远程代码执行 (RCE) 利用的一部分，攻击 Chrome 和 Edge浏览器。

第二个0day漏洞是CVE-2024-2886，由 KAIST Hacking Lab的研究员Seunghyun Lee 在 CanSecWest Pwn2Own 大赛第二天利用。它是位于 WebCodecs API 中的一个UAF漏洞，该API 可供 web 应用编码和解码音视频内容，使远程攻击者通过多个构造的 HTML 页面执行任意读/写。Lee 还利用CVE-2024-2886，通过针对Chrome 和 Edge 的单一利用获得远程代码执行权限。

谷歌在 Chrome 稳定渠道版本123.0.6312.86/.87（Windows 和 Mac版本）和123.0.6312.86（Linux 版本）中修复了这两个漏洞。这些新版本将在未来几天内向全球发布。Firefox 也在大赛报送两个0day的同一天修复了它们。

虽然Mozilla 仅用了一天而谷歌仅用了五天来修复这些漏洞，但厂商通常会在ZDI规定的90天期限内完成修复。1月份，谷歌还修复了Chrome中的一个已遭活跃利用的漏洞 (CVE-2024-0519)，它可导致攻击者访问敏感信息或者导致未修复浏览器崩溃，原因是 Chrome V8 JavaScript 引擎中存在界外内存访问弱点。

Pwn2Own 温哥华大赛在3月22日落下帷幕。大赛共发现29个唯一0day，颁发1132500美元的赏金。Manfred Paul 以202500美元的赏金摘得桂冠，成功攻破苹果Safari、谷歌Chrome 和微软 Edge浏览器。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~