【缝隙公告】Google Chrome V8类型混合缝隙(CVE-2024-4947)

颁布功夫 2024-05-16

一、、、缝隙概述

缝隙名称

  Google   Chrome V8类型混合缝隙

CVE   ID

CVE-2024-4947

缝隙类型

类型混合

发现功夫

2024-05-16

缝隙评分

暂无

缝隙等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

未公开

在野利用

已发现

 

Google Chrome是由Google公司开发的一款网页浏览器。。V8是由Google 开源的一个高机能JavaScript 引擎,,,被宽泛利用于各类 JavaScript 执行环境,,,如Chrome 浏览器、、、Node.js等。。

2024年5月16日,,,OG东方厅集团VSRC监测到Google Chrome颁布安全更新,,,修复了Chrome V8中的一个类型混合缝隙(CVE-2024-4947),,,目前该缝隙已发此刻野利用,,,这是Chrome中最近一周内被利用的第3个0 day缝隙。。

Google Chrome 125.0.6422.60之前版本在V8 JavaScript引擎中存在类型混合缝隙,,,可通过诱导受害者接见恶意HTML页面来利用该缝隙,,,成功利用可能导致浏览器崩溃、、、信息泄露或在指标设备上执行肆意代码。。

 

二、、、影响领域

Google Chrome(Windows/Mac)版本 < 125.0.6422.60/.61

Google Chrome(Linux)版本 < 125.0.6422.60

 

三、、、安全措施

3.1 升级版本

目前该缝隙已经修复,,,受影响用户可升级到当前最新版本,,,以修复近期披露的多个在野利用缝隙:

Google Chrome(Windows/Mac)版本 >= 125.0.6422.60/.61

Google Chrome(Linux)版本 >= 125.0.6422.60

下载链接:

https://www.google.cn/chrome/

手动查抄更新:

Chrome用户可通过Chrome 菜单-【援手】-【关于 Google Chrome】查抄版本更新,,,并在更新实现后重新启动。。

3.2 一时措施

暂无。。

3.3 通用建议

l  定期更新系统补丁,,,削减系统缝隙,,,提升服务器的安全性。。

l  加强系统和网络的接见节制,,,批改防火墙战术,,,关闭非必要的利用端口或服务,,,削减将危险服务(如SSH、、、RDP等)露出到公网,,,削减攻击面。。

l  使用企业级安全产品,,,提升企业的网络安全机能。。

l  加强系统用户和权限治理,,,启用多成分认证机制和最小权限准则,,,用户和软件权限应维持在最低限度。。

l  启用强密码战术并设置为定期批改。。

3.4 参考链接

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html

https://nvd.nist.gov/vuln/detail/CVE-2024-4947

 

 

四、、、版本信息

版本

日期

备注

V1.0

2024-05-16

初次颁布

 

 

五、、、附录

5.1 OG东方厅简介

OG东方厅成立于1996年,,,是由留美博士严望佳女士创建的、、、占有齐全自主知识产权的信息安全高科技企业。。是国内最具实力的信息安全产品、、、安全服务解决规划的领航企业之一。。

公司总部位于北京市中关村软件园OG东方厅大厦,,,公司员工6000余人,,,研发团队1200余人, 技术服务团队1300余人。。在全国各省、、、市、、、自治区设立分支机构六十多个,,,占有覆盖全国的销售系统、、、渠道系统和技术支持系统。。公司于2010年6月23日在丽江中小板挂牌上市。。(股票代码:002439)

多年来,,,OG东方厅致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务,,,援手客户全面提升其IT基础设施的安全性和出产效力,,,为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。。

5.2 关于OG东方厅

OG东方厅安全应急响应中心已颁布1000多个缝隙公告微风险预警,,,我们将持续跟踪全球最新的网络安全事务和缝隙,,,为企业的信息安全保驾护航。。

关注我们:

image.png