Google Chrome<120.0.6099.199 存在释放后使用漏洞
漏洞描述
Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 Vulkan,广泛用于图形渲染和游戏应用中。glCopyTexImage2D是OpenGL的一个函数,用于从当前的缓冲区中复制像素到一个二维纹理图像。
Google Chrome 120.0.6099.199 之前版本中,当 Vulkan 调用 glCopyTexImage2D 函数复制同源的纹理时会触发释放后使用漏洞,攻击者可诱导用户访问恶意制作的 HTML 页面造成浏览器崩溃或远程执行任意代码。
| 漏洞名称 | Google Chrome<120.0.6099.199 存在释放后使用漏洞 |
|---|---|
| 漏洞类型 | UAF |
| 发现时间 | 2024-01-04 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-ler0-8tok |
| CVE编号 | CVE-2024-0222 |
| CNVD编号 | - |
影响范围
chromium@(-∞, 120.0.6099.199)
chrome@(-∞, 120.0.6099.199)
chromium@影响所有版本
chromium@影响所有版本
修复方案
避免打开不受信任的网页
将 chromium 升级至 120.0.6099.199 及以上版本
升级chrome到 120.0.6099.199 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-ler0-8tok
https://nvd.nist.gov/vuln/detail/CVE-2024-0222
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop.html
https://github.com/google/angle/commit/b8ca8de438417fefeb821d184322b26cb5d56a2c
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
