谷歌在 4 月 24 日的博客文章中宣布了這一重要的補丁信息。在這篇文章中,谷歌提到該漏洞CVE20244058是一種在其圖形層引擎 ANGLE 中存在的類型混淆問題。盡管谷歌未透露該漏洞是否已在野外被利用,但以往的報道顯示,攻擊者確實會利用 Chrome 中的類型混淆漏洞。
類型混淆,也稱為類型操作,屬于一種攻擊載體,通常發生在使用動態類型的解釋性語言如 JavaScript 和 PHP中。在動態類型中,變量的類型在運行時被識別和更新,而不是在編譯時如靜態類型編程語言。
鑒于谷歌對該漏洞的評估為“關鍵”,攻擊者有高可能性以自動方式發起任意代碼執行或繞過安全沙箱,且幾乎不需要用戶互動。
clash配置購買網站谷歌還提到,Qrious Secure 的兩名成員Toan (suto) Pham 和 Bao (zx) Pham,于 4 月 2 日報告了這一關鍵漏洞,并因其發現獲得了 16000 美元的漏洞獎勵。
關鍵網絡安全專家 Critical Start 的網絡威脅情報研究分析師 Sarah Jones 表示,獲得“關鍵”評級意味著該漏洞可能帶來嚴重后果。她指出,攻擊者能夠遠程利用該漏洞,這意味著他們不需要用戶點擊可疑鏈接或下載文件就能獲取訪問權限。
“這尤其令人擔憂,”Jones 說。“盡管目前具體技術細節依然保密,但像這樣的關鍵漏洞可能讓攻擊者在計算機上運行惡意代碼或完全繞過安全特性。這可能使用戶數據面臨被竊取的風險,也可能為惡意軟件的安裝打開大門,甚至損壞單個用戶的系統。”
Bambenek Consulting 的總裁 John Bambenek 補充道,不需要用戶互動的瀏覽器漏洞除了讓用戶訪問漏洞頁面是最嚴重的瀏覽器問題類型。
近年來,Bambenek 說瀏覽器的安全性有了很大的提升,因此此類問題的頻率有所降低。不過,他呼吁用戶應立即更新 Chrome 版本,以防可能的攻擊。
“通常情況下,攻擊者需要約 12 到 24 小時來通過逆向工程補丁 craft 攻擊,假如目前還沒有在野外發生利用,那么明天就會有。”
鎮江市丹徒區上黨鎮北汽大道1號
