據Cyber Security News消息，最近，獨立研究人員在谷歌Chrome 的 V8 JavaScript 引擎中發現了一個嚴重性較高的類型混淆漏洞。

該漏洞被追蹤為 CVE-2024-12053，當程序為一種數據類型分配內存，卻錯誤地將其視為另一種數據類型時，就會出現類型混淆漏洞。 攻擊者可能利用此漏洞在受影響的系統上執行遠程代碼，從而導致系統受損和數據盜竊。

谷歌已在其最新的 Chrome 更新中迅速解決了該問題，包括適用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ，以及適用于 Linux 的 131.0.6778.108版本。這些更新將在未來幾天至幾周內推出。

雖然谷歌沒有提供利用這一漏洞進行攻擊的具體細節，但該公司通常會限制此類信息，直到大多數用戶更新了瀏覽器以降低潛在風險。

Chrome 瀏覽器的安全團隊強調了他們正在進行的內部安全工作的重要性，通過審計、模糊處理和其他措施，他們已經修復了各種問題。

而該漏洞的發現者“gal1ium”和“chluo”因此獲得了8000美元獎金，他們于2024 年 11 月 14 日對這一問題進行了報告。根據今年谷歌新發布的Chrome 漏洞賞金計劃，新的獎勵機制將發現重大漏洞的最高獎金提高到了25萬美元，相比之前最高4萬美元有了大幅提升。

谷歌Chrome 今年已修復了10個零日漏洞

截至今年8月26日，谷歌Chrome 已經修復了今年的第10個零日漏洞。這些漏洞包括：

• CVE-2024-0519：Chrome 瀏覽器 V8 JavaScript 引擎存在一個嚴重的越界內存訪問漏洞，允許遠程攻擊者通過特制的 HTML 頁面利用堆破壞，導致未經授權訪問敏感信息。
• CVE-2024-2887：WebAssembly (Wasm) 標準中的高嚴重性類型混亂漏洞。該漏洞可導致利用偽造的 HTML 頁面進行遠程代碼執行 (RCE) 的漏洞。
• CVE-2024-2886：網絡應用程序用于編碼和解碼音頻和視頻的 WebCodecs API 存在使用后即釋放漏洞。
• CVE-2024-4671：在處理瀏覽器中內容的呈現和顯示的 Visuals 組件中存在一個高嚴重性的 use-after-free 缺陷。
• CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界讀取導致的高嚴重性漏洞。
• CVE-2024-4761：Chrome 瀏覽器的 V8 JavaScript 引擎中存在越界寫入問題，該引擎負責在應用程序中執行 JS 代碼。
• CVE-2024-4947：Chrome V8 JavaScript 引擎中的類型混亂，可安裝任意代碼。
• CVE-2024-5274：Chrome 瀏覽器 V8 JavaScript 引擎的一種混亂，可能導致崩潰、數據損壞或任意代碼執行。
• CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一個不恰當實現，可讓遠程攻擊者通過制作 HTML 頁面造成堆內存損壞。
• CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在類型混亂，可讓遠程攻擊者通過制作 HTML 頁面造成堆內存損壞。