共计 835 个字符,预计需要花费 3 分钟才能阅读完成。
Google 最近为其 Chrome 浏览器发布了一项重要的安全更新,旨在修复可能导致浏览器崩溃的严重缺陷。目前,该更新已经可以在稳定通道上获取,用户可以将 Chrome 版本更新至 Windows 和 Mac 的 127.0.6533.88/89,以及 Linux 的 127.0.6533.88。预计在未来几天和几周内,该更新将逐步分发给所有用户。
此次更新包含了三个关键的安全修复,其中两个是由名为“gelatin dessert”的外部研究人员报告的。以下是这些修复的详细信息:
- CVE-2024-6990:涉及 Dawn 中未初始化使用的严重漏洞,于 2024 年 7 月 15 日报告。此缺陷可能允许攻击者利用浏览器,导致崩溃或其他恶意活动。
- CVE-2024-7255:WebTransport 中的一个高严重性越界读取问题,由 Marten Richter 于 2024 年 7 月 13 日报告。此漏洞可能使攻击者能够从其他内存位置读取敏感信息。
- CVE-2024-7256:另一个涉及 Dawn 中数据验证不足的高严重性问题,于 2024 年 7 月 23 日报告。此缺陷可能被利用来向浏览器注入恶意数据。
Dawn 是 Chrome 图形管道的关键组件,负责在不同平台上高效渲染网页内容。未初始化的内存使用可能导致不可预测的行为,使浏览器在正常操作期间意外崩溃或冻结,这不仅会扰乱用户体验,还可能使系统暴露于安全漏洞。在严重情况下,可能允许攻击者执行任意代码,潜在地危及用户系统。
为了防止用户在保护自己之前对这些缺陷的潜在利用,Google 已限制对这些漏洞详细信息的访问。此外,如果发现漏洞存在于其他项目也依赖但尚未修补的第三方库中,限制将持续存在。Google 敦促所有 Windows、Mac 和 Linux 平台的 Chrome 用户及时更新其浏览器,以确保免受这些漏洞的影响。更新过程通常是自动的,但建议用户验证其浏览器版本以确认更新已应用。
Google 对所有为识别和报告这些漏洞做出贡献的安全研究人员表示感谢,帮助增强了 Chrome 浏览器的安全性。
