Chrome 116 更新修补高严重性漏洞

谷歌周二宣布发布 Chrome 116 更新，修复了外部研究人员报告的四个高严重性漏洞。

第一个错误编号为 CVE-2023-4761，被描述为 FedCM（联合凭证管理）API 中的内存访问越界问题。

当程序读取缓冲区边界之外的内存地址时，就会发生越界内存访问错误，这最终可能导致攻击者造成拒绝服务 (DoS) 情况或利用其他弱点来实现代码执行。

第二个缺陷是 V8 JavaScript 引擎中的类型混淆问题。该漏洞编号为 CVE-2023-4762，可能导致内存访问越界。

谷歌的通报称，第三个错误 CVE-2023-4763 是 Chrome 网络组件中的释放后使用问题。

释放后使用问题是一种内存损坏错误，可被利用来执行任意代码或导致 DoS 条件，如果与其他漏洞结合使用，可能会导致整个系统受到损害。

在 Chrome 中，释放后使用缺陷可以与浏览器进程中的错误或底层操作系统中的问题结合起来，以逃避 Chrome 的沙箱。

Chrome 116 更新修复的第四个漏洞是 CVE-2023-4764，这是 BFCache（存储页面完整快照的内存缓存）中的一个不正确的安全 UI 缺陷，允许远程攻击者使用精心设计的 HTML 页面欺骗 URL 栏（多功能框）的内容。

谷歌尚未确定报告研究人员将因其发现而获得的错误赏金奖励。

最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 116.0.5845.179，适用于 Windows 的版本为 116.0.5845.179/.180。

这家互联网巨头还宣布，Chrome Extended Stable 通道已更新至 macOS 版本 116.0.5845.179 和 Windows 版本 116.0.5845.180。

谷歌没有提及任何这些漏洞被用于恶意攻击。