Google Chrome<120.0.6099.199 存在释放后使用漏洞

漏洞描述

Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库，包括 OpenGL ES 和 Vulkan，广泛用于图形渲染和游戏应用中。glCopyTexImage2D是OpenGL的一个函数，用于从当前的缓冲区中复制像素到一个二维纹理图像。

Google Chrome 120.0.6099.199 之前版本中，当 Vulkan 调用 glCopyTexImage2D 函数复制同源的纹理时会触发释放后使用漏洞，攻击者可诱导用户访问恶意制作的 HTML 页面造成浏览器崩溃或远程执行任意代码。

漏洞名称	Google Chrome<120.0.6099.199 存在释放后使用漏洞
漏洞类型	UAF
发现时间	2024-01-04
漏洞影响广度	广
MPS编号	MPS-ler0-8tok
CVE编号	CVE-2024-0222
CNVD编号	-

影响范围

chromium@(-∞, 120.0.6099.199)

chrome@(-∞, 120.0.6099.199)

chromium@影响所有版本

chromium@影响所有版本

修复方案

避免打开不受信任的网页

将 chromium 升级至 120.0.6099.199 及以上版本

升级chrome到 120.0.6099.199 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-ler0-8tok

https://nvd.nist.gov/vuln/detail/CVE-2024-0222

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop.html

https://crbug.com/1501798

https://github.com/google/angle/commit/b8ca8de438417fefeb821d184322b26cb5d56a2c

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc