2024年10月23日,苹果安全工程与架构团队(SEAR)报告的、编号为CVE-2024-10487的Chrome关键漏洞已被Google修补。
该漏洞是一个存在于Dawn实现中的越界写入问题。
Dawn是WebGPU标准的一个开源且跨平台的实现,更具体地说,它实现了与WebGPU IDL一一对应的webgpu.h。Dawn旨在作为更大系统的一部分进行集成,并且是Chromium中WebGPU的底层实现。
目前尚不清楚该漏洞是否已在现实世界的攻击中被积极利用。
此外,Google还解决了WebRTC中一个严重性较高的漏洞,编号为CVE-2024-10488,这是一个存在于WebRTC中的使用后释放问题,由Cassidy Kim(@cassidy6564)于2024年10月18日报告。
Google通过发布Chrome 130版本解决了这两个问题。
“Windows和Mac的稳定版已更新至130.0.6723.91/.92,Linux的稳定版已更新至130.0.6723.91,这些更新将在未来几天/几周内推出。此版本的完整更改列表可在日志中找到。”公告中写道,“Windows和Mac的扩展稳定版已更新至130.0.6723.92,这些更新也将在未来几天/几周内推出。”
与往常一样,Google表示,在大多数用户应用修复程序之前,漏洞详情和链接将保持受限状态。
Google Chrome是威胁行为者的重要目标,在许多情况下,攻击者会利用这款流行浏览器中的零日漏洞。
今年8月,Google发布了一项安全更新,以修复编号为CVE-2024-7965(CVSS评分8.8)且正在被积极利用的新Chrome零日漏洞。
该漏洞是Chrome的V8 JavaScript引擎中存在的不当实现问题。