谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码

据Cyber Security News消息 ，谷歌攻击够执最近 ，浏览独立研究人员在谷歌Chrome 的器类 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞 。

该漏洞被追踪为 CVE-2024-12053，型混淆漏行远当程序为一种数据类型分配内存，洞让却错误地将其视为另一种数据类型时，程代就会出现类型混淆漏洞 。谷歌攻击够执 攻击者可能利用此漏洞在受影响的浏览系统上执行远程代码，从而导致系统受损和数据盗窃。器类

谷歌已在其最新的建站模板型混淆漏行远 Chrome 更新中迅速解决了该问题 ，包括适用于 Windows 和 Mac 的洞让 131.0.6778.108/.109版本 ，以及适用于 Linux 的程代 131.0.6778.108版本。这些更新将在未来几天至几周内推出。谷歌攻击够执

虽然谷歌没有提供利用这一漏洞进行攻击的浏览具体细节，但该公司通常会限制此类信息 ，器类直到大多数用户更新了浏览器以降低潜在风险。

Chrome 浏览器的安全团队强调了他们正在进行的模板下载内部安全工作的重要性，通过审计、模糊处理和其他措施 ，他们已经修复了各种问题。

而该漏洞的发现者“gal1ium”和“chluo”因此获得了8000美元奖金 ，他们于2024 年 11 月 14 日对这一问题进行了报告。根据今年谷歌新发布的Chrome 漏洞赏金计划，新的奖励机制将发现重大漏洞的源码下载最高奖金提高到了25万美元 ，相比之前最高4万美元有了大幅提升 。

谷歌Chrome 今年已修复了10个零日漏洞

截至今年8月26日 ，谷歌Chrome 已经修复了今年的第10个零日漏洞 。这些漏洞包括：

CVE-2024-0519：Chrome 浏览器 V8 JavaScript 引擎存在一个严重的越界内存访问漏洞
，允许远程攻击者通过特制的 HTML 页面利用堆破坏，导致未经授权访问敏感信息 。CVE-2024-2887：WebAssembly (Wasm) 标准中的高严重性类型混乱漏洞。服务器租用该漏洞可导致利用伪造的 HTML 页面进行远程代码执行 (RCE) 的漏洞。CVE-2024-2886
：网络应用程序用于编码和解码音频和视频的 WebCodecs API 存在使用后即释放漏洞。CVE-2024-4671
：在处理浏览器中内容的呈现和显示的 Visuals 组件中存在一个高严重性的 use-after-free 缺陷
。CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界读取导致的高严重性漏洞。香港云服务器CVE-2024-4761 ：Chrome 浏览器的 V8 JavaScript 引擎中存在越界写入问题，该引擎负责在应用程序中执行 JS 代码
。CVE-2024-4947
：Chrome V8 JavaScript 引擎中的类型混乱，可安装任意代码
。CVE-2024-5274：Chrome 浏览器 V8 JavaScript 引擎的一种混乱 ，可能导致崩溃
、数据损坏或任意代码执行。CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一个不恰当实现，云计算可让远程攻击者通过制作 HTML 页面造成堆内存损坏 。CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在类型混乱，可让远程攻击者通过制作 HTML 页面造成堆内存损坏 。