上周谷歌发布 Chrome 紧急安全更新修复某个已经遭到黑客利用的安全漏洞,该漏洞编号为 CVE-2024-7971,位于 Chrome JavaScript V8 引擎属于类型混淆错误,该漏洞由微软威胁情报中心和微软安全响应中心的研究人员发现并通报给谷歌。
当时谷歌还修复了其他安全漏洞,今天谷歌更新博客透露 CVE-2024-7965 漏洞也遭到黑客利用,即之前谷歌没有证据表明漏洞被利用,现在已经有证据了。
CVE-2024-7965 漏洞是名为 TheDog 的安全研究人员报告的,该漏洞同样属于 V8 引擎中的不当实现,攻击者借助特制的 HTML 可以触发漏洞。
这些漏洞都已经在 Chrome v128.0.6613.84/.85 版中得到修复,由于该版本发布时间已经有五天,所以当前大多数用户应该已经被自动更新到了最新版本。
谷歌暂时还未透露利用这些漏洞的黑客团伙及其他细节,通常情况下谷歌会在大多数用户不受影响的情况下才会逐渐披露漏洞,如果漏洞涉及到第三方库则也会延迟披露,预留更长时间的时间给开发商进行修复避免提前公布漏洞细节后有黑客发起针对性攻击。
其他浏览器也需要更新:
其他任何基于 Chromium 引擎的浏览器也都需要发布更新修复该漏洞,所以如果你使用的不是 Chrome 而是 Microsoft Edge、Vivaldi、Brave 等基于 Chromium 开发的浏览器也需要关注后续更新。
Chrome 最新版下载地址:
