谷歌紧急发布 Chrome 浏览器更新 修复高危 V8 引擎类型混乱漏洞
8月22日,科技媒体 The Hacker News 报道,谷歌紧急发布了 Chrome 浏览器的安全更新,以修复追踪编号为 CVE-2024-7971 的高危安全漏洞。此次更新专注于修复存在于 V8 JavaScript 和 WebAssembly 引擎中的类型混乱漏洞,这一漏洞可能被远程攻击者利用来进行恶意攻击。
CVE-2024-7971 是一个类型混乱漏洞,存在于 Chrome 浏览器的 V8 引擎中。NIST 美国国家漏洞数据库(NVD)详细描述了这个漏洞,指出在 Chrome 128.0.6613.84 之前的版本中,V8 引擎中的类型混乱问题可能被远程攻击者利用。攻击者可以通过精心制作的 HTML 页面引发堆破坏(heap corruption)攻击,进而可能控制用户设备或执行任意代码。
该漏洞是由微软威胁情报中心(MSTIC)和微软安全响应中心(MSRC)于2024年8月19日发现并报告的。微软的安全团队及时向谷歌通报了这一严重安全风险,促使谷歌迅速采取行动发布安全更新。
谷歌已经确认,有黑客在野外利用该漏洞进行攻击,这一发现促使谷歌采取紧急措施发布更新。值得注意的是,CVE-2024-7971 是谷歌在2024年修补的第三个 V8 类型混乱漏洞,此前两个漏洞分别为 CVE-2024-4947 和 CVE-2024-5274。
谷歌已发布 Google Chrome v128 稳定版频道更新,以修复这一漏洞。此次更新适用于多个操作系统:Windows 和 Mac 用户可更新至 v128.0.6613.84/85 版,而 Linux 用户的更新版本则为 v128.0.6613.84。用户应尽快更新浏览器,以保护自身免受潜在攻击。