对于广大数码爱好者朋友来说,不管是微软的Windows系统、谷歌的Android系统,还是各种浏览器,爆出严重安全漏洞、厂商发布修复补丁,这种事情已经司空见惯。
不过一般来说,厂商在发布修复补丁的同时,通常都会简要地介绍一下所爆出的漏洞,包括它的大致原理和危害,以保障用户的知情权。
另外一方面,厂商这样做也意味着非常自信,所爆出的严重漏洞已经基本解决,只有在这种情况下,才会公开披露安全漏洞的细节。
按照行业惯例,在一个新安全漏洞被厂商证实,尚未修复之前,是不会向公众披露的,以避免漏洞被扩散,被更多黑客利用实施攻击,造成更大的、潜在的危害和损失。
5月9日,谷歌为Chrome浏览器发布紧急更新,修复了一个非常“严重”的零日漏洞,该漏洞编号为“CVE-2024-4671”。——那么,这个CVE-2024-4671漏洞到底有多“严重”呢?“严重”到谷歌方面未披露该漏洞的任何具体细节。
CVE-2024-4671漏洞是由一位匿名研究人员发现,于5月8日汇告给谷歌的。经过谷歌方面核实调查,该安全漏洞目前可能正在被网络犯罪分子积极利用,即使修复补丁现在已经发布,但大多数用户安装部署仍然需要一定的时间。
因此,在这种情况下,谷歌方面暂未公布CVE-2024-4671漏洞的完整细节,预计过一段时间,等大多数用户都已经安装该修复补丁后,谷歌才会向公众披露。
尽管如此,坊间还是有一些相关传闻,可暂时大致作为参考:
据传,CVE-2024-4671漏洞利用了一个缺陷,当程序在释放内存指针后,仍可继续使用内存指针,从而可能导致未经授权的数据操作或崩溃。受此影响,在Chrome浏览器124.0.6367.201之前的版本中,其视觉功能允许远程攻击者通过精心制作的HTML页面潜在地利用堆损坏。
——CVE-2024-4671漏洞非常严重,谷歌方面敦促广大Chrome浏览器用户立即更新。
由于Chrome浏览器拥有多个平台版本,且不同平台的最新版本号并不统一,对于Windows系统用户,需升级至Chrome v124.0.6367.202版(请参阅上图),对于Linux系统用户,需升级至Chrome v124.0.6367.201版。
最后,小编还需要重点补充,强调一点的是:
CVE-2024-4671漏洞并非只存在于Chrome浏览器中,其他所有基于Chromium 内核开发的浏览器都存在这个问题。包括但不限于Microsoft Edge、Opera等浏览器,预计相关浏览器厂商近期都会发布类似更新,大家需要密切留意,尽快安装相关更新。
热门跟贴