Chrome 128 更新修复了高严重性漏洞

谷歌周二宣布推出新的 Chrome 128 更新，该更新解决了五个漏洞，其中包括外部研究人员报告的四个漏洞。

所有四个外部报告的缺陷都是高严重程度的内存安全问题，是在 8 月底Chrome 128在稳定渠道发布后报告的。

其中第一个漏洞被标记为 CVE-2024-8636，是 Skia 中的一个堆缓冲区溢出漏洞。Skia 是一个开源 2D 图形库，是浏览器中的图形引擎。

接下来是 CVE-2024-8637，这是 Media Router 中的一个释放后使用安全缺陷。由于内存分配使用不当，释放后使用漏洞可能导致代码执行、数据损坏或拒绝服务。在 Chrome 中，它们可以与其他缺陷结合使用，从而实现沙盒逃逸。

外部研究人员报告的第三个漏洞是 CVE-2024-8638，这是 V8 JavaScript 引擎中的类型混淆。此类安全缺陷通常会导致应用程序意外行为、崩溃和远程代码执行。

最新的 Chrome 更新解决了第四个外部报告的漏洞，即 CVE-2024-8639，这是自动填充中的一个释放后使用漏洞。

谷歌表示，已针对前两个安全漏洞发放了 15,000 美元和 11,000 美元的漏洞赏金，但尚未确定后两个漏洞的支付金额。

新的浏览器更新现已推出，适用于 Windows 和 macOS 的 Chrome 版本 128.0.6613.137/.138，适用于 Linux 的版本 128.0.6613.137。

谷歌并未提及这些安全漏洞是否已被利用。不过，用户应尽快更新其浏览器。

这是几周内发布的第三次 Chrome 128 更新。前两次更新解决了八个漏洞，其中包括外部研究人员报告的六个漏洞。