新的Chrome零日漏洞CVE-2024-4761在积极利用中

谷歌周一发布了紧急修复程序，以解决Chrome网络浏览器中一个新的零日缺陷，该漏洞在野外受到积极利用。

高严重性漏洞被跟踪为CVE-2024-4761，是一个影响V8 JavaScript和WebAssembly引擎的越界写入错误。它于2024年5月9日匿名报道。

越界写入错误通常可能被恶意行为者利用来破坏数据，或诱发崩溃或在受损的主机上执行任意代码。

这家科技巨头表示，谷歌意识到CVE-2024-4761的漏洞存在于野外。

关于攻击性质的更多细节已被隐瞒，以防止更多威胁行为者将缺陷武器化。

披露是在该公司修补CVE-2024-4671几天后才披露的，CVE-2024-4671是Visuals组件中的一个免使用后漏洞，也在现实世界的攻击中得到了利用。

通过最新的修复程序，谷歌自年初以来总共解决了六个零日问题，其中三个在3月在温哥华举行的Pwn2Own黑客比赛中进行了演示-

• CVE-2024-0519 – V8中的越界内存访问（主动利用）
• CVE-2024-2886 – 在WebCodecs中免费使用
• CVE-2024-2887 – WebAssembly中的类型混淆
• CVE-2024-3159 – V8中的越界内存访问
• CVE-2024-4671 – 在视觉效果中免费使用（主动利用）

建议用户升级到Windows和macOS的Chrome版本124.0.6367.207/.208，Linux升级到124.0.6367.207版本，以减轻潜在威胁。

也建议基于Chromium的浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户在修复程序可用时应用。