Google Chrome 用户应检查其浏览器是否已更新，因为 124.0.6367.207 之前的版本允许恶意行为者利用严重缺陷。在紧急安全补丁之后，谷歌发布了 Chrome 版本 125，修复了另外两个高风险缺陷。

Chrome 团队发布了稳定版本 125，其中带来了九项安全修复和其他改进。用户不应延迟此更新。

其中两个“高风险”Chrome 漏洞已包含在美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞目录中。 CISA 警告联邦机构在未来几周内解决“高风险”漏洞。

其中一个标记为CVE-2024-4761 的漏洞影响 124.0.6367.207 之前的 Chrome 版本。此“越界写入”漏洞会影响 Google Chrome 和其他基于 Chromium 的浏览器使用的 V8 JavaScript 引擎，并运行网页中包含的 JavaScript 代码。

根据国家漏洞数据库，它“允许远程攻击者通过精心设计的 HTML 页面执行越界内存写入”。

CISA 表示：“此漏洞可能会影响使用 Chromium 的多种网络浏览器，包括但不限于 Google Chrome、Microsoft Edge 和 Opera”，并将各机构的截止日期定为 2024 年 6 月 6 日。

另一个漏洞（标记为CVE-2024-4671）必须由机构更早修复，即 6 月 3 日之前。它允许远程攻击者“破坏渲染器进程，从而有可能通过精心设计的 HTML 页面执行沙箱逃逸。”此漏洞还影响许多 Chromium 浏览器。

通常，CISA 要求“高风险”漏洞在 30 天内解决，“严重风险”漏洞在 15 天内解决。

CISA 表示：“虽然 BOD 22-01 仅适用于联邦民事行政部门机构，但 CISA 强烈敦促所有组织优先考虑及时补救，以减少遭受网络攻击的风险。”

周三，谷歌宣布了另外两个高危漏洞（CVE-2024-4947和CVE 2024-4948），其中至少有一个已被利用。 V8 中的类型混淆是一个严重漏洞，远程攻击者可以通过该漏洞通过精心设计的 HTML 页面在沙盒环境中执行任意代码。

所有这些漏洞均已在最新的 Chrome 版本（Windows 和 Mac 上的 125.0.6422.60/.61 以及 Linux 上的 125.0.6422.60）中得到解决。 iOS 和 Android 上也发布了稳定版本。

文章原文链接:https://www.anquanke.com/post/id/296613