3月28日，Google宣布Chrome瀏覽器新版本已發(fā)布，針對(duì)Windows和Mac系統(tǒng)的版本為123.0.6312.86以及123.0.6312.87，Linux用戶(hù)則使用123.0.6312.86版。

此次更新重點(diǎn)填補(bǔ)了7項(xiàng)安全漏洞，包括Pwn2Own Vancouver 2024系列活動(dòng)中所演示的兩個(gè)零日漏洞。

以下將對(duì)兩個(gè)重要漏洞進(jìn)行簡(jiǎn)要介紹：

首先，CVE-2024-2887漏洞位于WebAssembly 開(kāi)放標(biāo)準(zhǔn)中，屬高危類(lèi)型混亂漏洞。安全專(zhuān)家Manfred Paul利用此漏洞構(gòu)建了一個(gè)HTML網(wǎng)頁(yè)，用戶(hù)若點(diǎn)擊該網(wǎng)頁(yè)便可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼攻擊。

其次，CVE-2024-2886漏洞由KAIST黑客實(shí)驗(yàn)室的Seunghyun Lee在CanSecWest Pwn2Own競(jìng)賽第二天才公開(kāi)揭示的。這是一種use-after-free類(lèi)漏洞，主要出現(xiàn)在WebCodecs API中。

許多網(wǎng)頁(yè)應(yīng)用都會(huì)調(diào)用這個(gè)API來(lái)處理音視頻內(nèi)容，因此攻擊者可以利用這個(gè)漏洞通過(guò)精心設(shè)計(jì)的HTML頁(yè)面，輕松執(zhí)行讀/寫(xiě)操作。