谷歌发布 Chrome 漏洞补丁

关键要点

漏洞简介：谷歌发布了针对关键 Chrome 漏洞的 Windows 和 Mac 补丁，并将在未来几天和几周内推出 Linux 补丁。漏洞影响：该漏洞CVE20244058属于 ANGLE 的类型混淆，可能导致攻击者执行任意代码。漏洞报告与奖励：两名 Qrious Secure 的成员于 4 月 2 日报送该漏洞，获得了 16000 美元的漏洞奖励。紧急更新：安全专家建议用户立即更新 Chrome 版本，以防止潜在攻击。

谷歌在 4 月 24 日的博客文章中宣布了这一重要的补丁信息。在这篇文章中，谷歌提到该漏洞CVE20244058是一种在其图形层引擎 ANGLE 中存在的类型混淆问题。尽管谷歌未透露该漏洞是否已在野外被利用，但以往的报道显示，攻击者确实会利用 Chrome 中的类型混淆漏洞。

类型混淆，也称为类型操作，属于一种攻击载体，通常发生在使用动态类型的解释性语言如 JavaScript 和 PHP中。在动态类型中，变量的类型在运行时被识别和更新，而不是在编译时如静态类型编程语言。

鉴于谷歌对该漏洞的评估为“关键”，攻击者有高可能性以自动方式发起任意代码执行或绕过安全沙箱，且几乎不需要用户互动。

clash配置购买网站

谷歌还提到，Qrious Secure 的两名成员Toan (suto) Pham 和 Bao (zx) Pham，于 4 月 2 日报告了这一关键漏洞，并因其发现获得了 16000 美元的漏洞奖励。

关键网络安全专家 Critical Start 的网络威胁情报研究分析师 Sarah Jones 表示，获得“关键”评级意味着该漏洞可能带来严重后果。她指出，攻击者能够远程利用该漏洞，这意味着他们不需要用户点击可疑链接或下载文件就能获取访问权限。

“这尤其令人担忧，”Jones 说。“尽管目前具体技术细节依然保密，但像这样的关键漏洞可能让攻击者在计算机上运行恶意代码或完全绕过安全特性。这可能使用户数据面临被窃取的风险，也可能为恶意软件的安装打开大门，甚至损坏单个用户的系统。”

Bambenek Consulting 的总裁 John Bambenek 补充道，不需要用户互动的浏览器漏洞除了让用户访问漏洞页面是最严重的浏览器问题类型。

近年来，Bambenek 说浏览器的安全性有了很大的提升，因此此类问题的频率有所降低。不过，他呼吁用户应立即更新 Chrome 版本，以防可能的攻击。

“通常情况下，攻击者需要约 12 到 24 小时来通过逆向工程补丁 craft 攻击，假如目前还没有在野外发生利用，那么明天就会有。”