谷歌今天推出 Google Chrome v120.0.6099.234 (適用于 Mac 和 Linux) 和 v120.0.6099.235 版 (適用于 Windows)，谷歌個(gè)已此次更新谷歌修復(fù)四個(gè)安全問(wèn)題。瀏覽漏洞藍(lán)點(diǎn)

下面是漏洞列表和描述：

CVE-2024-0517：漏洞等級(jí)高，屬于 V8 引擎中的版緊被黑寫入越界漏洞，由 Qrious Secure 的急更研究人員 Toan (suto) Pham 報(bào)告，漏洞獎(jiǎng)金 16000 美元。新修

CVE-2024-0518：漏洞等級(jí)高，復(fù)某屬于 V8 引擎中的客利類型混亂漏洞，由 ChaMd5-H1 團(tuán)隊(duì)的谷歌個(gè)已廣西防城港品茶海選工作室電v166-2044-1662提供全國(guó)外圍女上門、伴游，空姐，網(wǎng)紅，明星，學(xué)生上門預(yù)約服務(wù) 同城30分鐘內(nèi)到達(dá) 面到付款研究人員 Ganjian Zhou (@refrain_areu) 報(bào)告，漏洞獎(jiǎng)金待定。瀏覽漏洞藍(lán)點(diǎn)

CVE-2024-0519：漏洞等級(jí)高，器推屬于 V8 引擎中的版緊被黑內(nèi)存訪問(wèn)漏洞，由匿名研究人員報(bào)告，急更漏洞獎(jiǎng)金待定。新修

1518006：來(lái)自谷歌內(nèi)部審計(jì)、復(fù)某模糊測(cè)試等發(fā)現(xiàn)的問(wèn)題。

被利用的漏洞：

CVE-2024-0519 漏洞已經(jīng)在谷歌接到報(bào)告前就遭到了利用，屬于 0day 范疇。谷歌暫時(shí)沒(méi)有透露漏洞細(xì)節(jié)，不過(guò)根據(jù) NIST 上的描述，v8 引擎中的越界內(nèi)存訪問(wèn)允許攻擊者通過(guò)特制 HTML 頁(yè)面觸發(fā)堆棧損壞，這可以用來(lái)觸發(fā)崩潰。

當(dāng)然攻擊者的目的肯定不是讓 Chrome 崩潰，所以觸發(fā)崩潰后應(yīng)該還有下一步動(dòng)作，只不過(guò)具體怎么攻擊的暫時(shí)還不清楚。

建議使用 Google Chrome 的用戶立即升級(jí)到最新版，藍(lán)點(diǎn)網(wǎng)已經(jīng)轉(zhuǎn)存最新版離線安裝包，有需要的用戶可以通過(guò)藍(lán)點(diǎn)網(wǎng)文件服務(wù)器獲取更新：[2024年1月17日] 谷歌瀏覽器 v120.0.6099.235 正式版離線安裝包 (注：為方便所有版本號(hào)均標(biāo)記為 235，實(shí)際上 Mac 和 Linux 的為 234。)

另外其他瀏覽器包括 Microsoft Edge、Brave、Opera 等瀏覽器應(yīng)該也會(huì)很快推出更新修復(fù)這些漏洞，建議用戶關(guān)注更新。