谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
2024-3-28 17:28:23 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。

第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembly 中的一个高危类型混淆漏洞。Manfred Paul 在大赛第一天演示了这个漏洞,通过构造的HTML页面即可用作双击远程代码执行 (RCE) 利用的一部分,攻击 Chrome 和 Edge浏览器。

第二个0day漏洞是CVE-2024-2886,由 KAIST Hacking Lab的研究员Seunghyun Lee 在 CanSecWest Pwn2Own 大赛第二天利用。它是位于 WebCodecs API 中的一个UAF漏洞,该API 可供 web 应用编码和解码音视频内容,使远程攻击者通过多个构造的 HTML 页面执行任意读/写。Lee 还利用CVE-2024-2886,通过针对Chrome 和 Edge 的单一利用获得远程代码执行权限。

谷歌在 Chrome 稳定渠道版本123.0.6312.86/.87(Windows 和 Mac版本)和123.0.6312.86(Linux 版本)中修复了这两个漏洞。这些新版本将在未来几天内向全球发布。Firefox 也在大赛报送两个0day的同一天修复了它们。

虽然Mozilla 仅用了一天而谷歌仅用了五天来修复这些漏洞,但厂商通常会在ZDI规定的90天期限内完成修复。1月份,谷歌还修复了Chrome中的一个已遭活跃利用的漏洞 (CVE-2024-0519),它可导致攻击者访问敏感信息或者导致未修复浏览器崩溃,原因是 Chrome V8 JavaScript 引擎中存在界外内存访问弱点。

Pwn2Own 温哥华大赛在3月22日落下帷幕。大赛共发现29个唯一0day,颁发1132500美元的赏金。Manfred Paul 以202500美元的赏金摘得桂冠,成功攻破苹果Safari、谷歌Chrome 和微软 Edge浏览器。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day

Pwn2Own 2024温哥华大赛落幕  Master of Pwn 诞生

首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生

Pwn2Own 2024温哥华大赛目标和奖金公布

Pwn2Own 2023多伦多大赛落幕  Master of Pwn诞生

原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519170&idx=1&sn=31612ff9461ff59184a818b76f04c198&chksm=ea94baa8dde333be86a1b2054ea40407dfa5a45d469b948ac55085e5f64e7872f7e2007c90ad&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh