Google Chrome<128.0.6613.84 V8存在类型混淆漏洞
漏洞描述
Google Chrome 是谷歌公司开发的浏览器,V8 是开源 JavaScript 引擎。
受影响版本中,由于 liftoff-assembler.cc 文件的 PrepareLoopArgs 方法存在类型混淆漏洞,攻击者可诱导用户访问恶意网页窃取浏览器敏感信息或远程恶意代码,谷歌已发现该漏洞被在野利用。
补丁通过引入 SpillLoopArgs 函数避免在循环内部溢出后重新将值加载到寄存器中修复此漏洞。
| 漏洞名称 | Google Chrome<128.0.6613.84 V8存在类型混淆漏洞 |
|---|---|
| 漏洞类型 | 使用不兼容类型访问资源(类型混淆) |
| 发现时间 | 2024-08-22 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-3nqp-odil |
| CVE编号 | CVE-2024-7971 |
| CNVD编号 | - |
影响范围
chrome@(-∞, 128.0.6613.84)
chromium@(-∞, 128.0.6613.84)
v8@(-∞, 12.9.202.2)
修复方案
将组件 chromium 升级至 128.0.6613.84 及以上版本
将组件 v8 升级至 12.9.202.2 及以上版本
将组件 chrome 升级至 128.0.6613.84 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-3nqp-odil
https://nvd.nist.gov/vuln/detail/CVE-2024-7971
https://issues.chromium.org/issues/360700873
https://github.com/v8/v8/commit/5a1e7339675b6fbe5541cc6cb647392a5d1a0047
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
🔥一款超级强大的 ORM 框架 mybatis-mp 1.6.6 正式发布
官网 :https://mybatis-mp.cn 更新: 1:优化SQL优化开关(更细) 2: 优化多数据库(同时)支持执行器 3:优化底层代码 为什么推荐 mybatis-mp ?: mybatis-mp 是一款超级强大的 ORM 框架 1:可多表 join(不再只能单表了) 2:良好 resultMap 结果映射能力(不怕映射错误了) 3:良好的扩展能力:orm+sql 模板 (让 ORM 框架不再死板,扩展性极强) 4:就算 xml 也不用再增加什么插件了,自带 xml 分页 5:强大的各种数据库适配,可在一套代码中 实现多个数据库适配;真正的 ORM hibernate 都做不到 6:极简的 api 设计,让开发者 不再迷糊 7:还很多很多独特优良的设计,只有前往体验,才能感受了;不相信可以试试!!! 1.单表 +@Fetch 注解 + fetchFilter 方法 @Data @ResultEntity(SysUser.class) public class SysUserVo { private Integer id; private String u...
- 下一篇
Sourcegraph 代码仓库 404:不开源更挣钱
前 Sourcegraph 工程师 Eric Fritz 发文称,代码搜索浏览工具 Sourcegraph 已将其开源代码库私有化,并称此举是对“Sourcegraph 文化的最后一击”。 Fritz 指出,自己曾经在 Google Go 团队和 Sourcegraph 之间选择了后者的一大原因,就是看中了他们“build 100% in the open”的这一文化因素。 “默认情况下,所有文档都是公开的。技术和产品 RFC(以及后来的 PR/FAQ)都经过起草、审查并编入公共 Google Drive 文件夹中。所有产品实施均在公共 GitHub 存储库中完成......这是我辞职后做出的决定,因此我没有任何发言权。但是,我仍然对我四年来为这个我所热爱的产品所付出的真诚努力(并怀念在我现在的岗位上每天使用它的日子)的可访问性感到遗憾。” 对此,Sourcegraph CEO 在 Hacker News 上的一则讨论帖中进行了回应,称私有化的举措是为了更好的集中精力。并补充道,虽然开源对很多公司来说是有意义的,但其更多的是适用于基础架构产品或客户端工具,对完整的服务器端最终用户应用来...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS6,CentOS7官方镜像安装Oracle11G
- Mario游戏-低调大师作品
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS关闭SELinux安全模块
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
微信收款码
支付宝收款码