详细内容或原文请订阅后点击阅览
网络上的 PoC:影响全国的 Chrome bug
技术漏洞分析会影响用户安全吗?
来源:安全实验室新闻频道专家发布了一份利用代码和对Google Chrome零日的详细分析。
利用代码 div> 详细分析 Google Chrome div>POC-延伸是指V8引擎中使用CVE-2024-5274标识符(CVSS:8.8等级)的错误类型混淆,该标识符(CVSS:8.8等级)用于在浏览器中处理JavaScript。由于程序错误地将一种类型的数据解释为另一种数据,这可能导致故障,数据损坏甚至任意代码执行,因此出现了问题。
类型混乱 CVE-2024-5274 div>最初,Google在2024年5月发布了对漏洞的纠正,但是隐藏了技术细节,以防止使用攻击者使用错误的可能性。 @mistymntncop和@buptsb在GitHub上发布了一份漏洞代码后,情况发生了变化。
发布了脆弱性的更正 在GitHub上发布 div>POC代码的存在既有正面和负面。一方面,这对于可以研究脆弱性并制定更有效的保护措施的IB专家很有用。另一方面,黑客可以使用代码来创建真实的利用并进行攻击。
这种脆弱性用于对蒙古政府遗址的攻击,后者影响了iOS用户和Android,访问了受感染的现场。这些攻击是更广泛的运动的一部分,在此期间,还使用了Chrome-CVE-2024-4671的另一个关键脆弱性。 在这两个活动中,攻击者都使用了与商业公司Intellexa和NSO集团使用的攻击,从事间谍计划的开发。
在蒙古政府遗址的攻击中, CVE-2024-4671。Google已经发布了Chrome的更新-Windows和Mac的125.0.6422.112/13版本和Mac以及Linux版本125.0.6422.112。强烈建议用户立即更新浏览器,以保护自己免受可能的攻击。