谷歌在其 Chrome 网络浏览器中发现了两个高严重性漏洞,特别是 CVE-2024-12381 和 CVE-2024-12382,紧急呼吁用户更新浏览器。通过外部研究发现,这些漏洞可能允许攻击者利用用户的系统。 Google Chrome 团队在 2024 年 12 月 10 日发布的帖子中确认了这些漏洞。
谷歌发现 Chrome 存在严重漏洞,敦促更新
CVE-2024-12381 被归类为 V8 JavaScript 引擎中的类型混淆漏洞,可能使攻击者能够在受感染的系统上执行任意代码。 CVE-2024-12382 是与 Chrome 中的翻译功能相关的释放后使用漏洞,该漏洞还可能允许对受影响的系统进行未经授权的控制。这两个漏洞已在最新的 Chrome 稳定频道更新中得到解决。
最近的更新适用于所有版本的 Chrome,包括 Windows、Mac、Linux 和 Android。补丁版本包括适用于Windows的Chrome 131.0.6778.139/.140、适用于Mac的Chrome 131.0.6778.139/.140、适用于Linux的Chrome 131.0.6778.139和适用于Android的Chrome 131.0.6778.135。更新将在未来几天和几周内逐步推出;但是,强烈建议用户立即执行更新以增强安全性。
要手动启动更新过程,用户应转到“帮助”菜单并选择“关于 Google Chrome”选项。浏览器会自动搜索最新版本并下载。下载完成后,用户必须单击“重新启动”按钮才能激活新的保护措施。
安全风险的紧迫性
最近微软报告的一个严重的新 Windows 零日漏洞的确认进一步加剧了围绕这些漏洞的紧迫性。这些安全风险的双重存在凸显了有效针对知名应用程序和系统的网络威胁不断增加的持续趋势。 CVE-2024-12381 和 CVE-2024-12382 的严重性怎么强调都不为过。考虑到潜在的影响,用户确定更新的优先级以降低被攻击者利用的风险至关重要。
安全专家警告说,类型混淆漏洞可能导致代码执行,而释放后使用漏洞可能会使程序崩溃,甚至被恶意行为者远程控制。随着网络威胁的不断发展,维护更新的软件是用户必要的第一道防线。
用户应始终了解并积极主动地了解网络安全实践。更新不仅可以保护个人用户,还有助于互联网基础设施的整体完整性,减少与零日漏洞相关的潜在风险。
特色图片来源: 纳塔娜·雷布萨斯/Unsplash