【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
2024-5-24 17:23:48 Author: mp.weixin.qq.com(查看原文) 阅读量:23 收藏

● 点击↑蓝字关注我们,获取更多安全风险通告


漏洞概述

漏洞名称

Google Chrome V8 类型混淆漏洞

漏洞编号

QVD-2024-20506,CVE-2024-5274

公开时间

2024-05-24

影响量级

千万级

奇安信评级

高危

CVSS 3.1分数

8.8

威胁类型

代码执行

利用可能性

POC状态

未公开

在野利用状态

已发现

EXP状态

未公开

技术细节状态

未公开

危害描述:攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。

01
漏洞详情
>>>>

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。

>>>>

漏洞描述

近日,奇安信CERT监测到Google 发布公告称Google Chrome V8类型混淆漏洞(CVE-2024-5274)存在在野利用,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

Google Chrome(Windows/Mac) < 125.0.6422.112/.113

Google Chrome(Linux) < 125.0.6422.112

>>>>

其他受影响组件

03
处置建议
>>>>

安全更新

目前官方已发布安全更新,建议用户尽快升级至最新版本:

Google Chrome(Windows/Mac) >= 125.0.6422.112/.113
Google Chrome(Linux) >= 125.0.6422.112

官方补丁下载地址:

https://www.google.cn/chrome/

版本检测及升级步骤:

1.查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome 

2.等待版本下载完成后,选择重新启动

3.查看当前版本

04
参考资料

[1]https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_23.html

05
时间线

2024年5月24日,奇安信 CERT发布安全风险通告。

06
漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读

谷歌修复今年第五个 Chrome 0day漏洞

谷歌紧急修复周内第3个已遭利用的0day

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

奇安信 CERT
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519584&idx=2&sn=dab52360076996946ff35b2afa4a9f72&chksm=ea94bc0adde3351c54d9a36afe23afb6c59f5e81234f6ccbe3b6b07cfc0f71661bf80acac1e4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh