行业新闻与博客

谷歌修复了虚假更新警告中的 26 个错误

谷歌发布了最新版本的 Chrome 浏览器,解决了 26 个漏洞,其中包括 8 个严重缺陷。

Chrome 116 涵盖了各种功能的更新,包括离线、V8 引擎、设备信任连接器、全屏、网络、ANGLE 和 Skia。

Action1 漏洞和威胁研究副总裁兼联合创始人 Mike Walters 强调 CVE-2023-2312 是最严重的漏洞之一。Offline 中的释放后使用错误获得了 Google 30,000 美元的错误赏金奖励。

“问题源于需要回调的‘ScheduleDownload’函数。在这个函数中,指向 WebContents 对象的原始指针作为参数传递给回调,”他解释道。

“问题的根源在于无法确保执行回调时指向 WebContents 对象的指针仍然有效。因此,回调可能会尝试访问或操作无效或不存在的 WebContents 对象,从而导致释放后使用漏洞。”

另一个值得关注的释放后使用缺陷是 CVE-2023-4349,它会影响设备信任连接器,特别是 DeviceTrustKeyManager 和 ThreadPool 之间的交互。

“在当前的实现中,Device Trust SigningKeyPair(与加密签名相关的对象)存储在 DeviceTrustKeyManager 内的 unique_ptr 中。然而,在关闭过程中,包含 SigningKeyPair 的 unique_ptr 在线程池之前被删除,”Walters 解释道。

“负责管理和执行任务的线程池仍然引用已删除的对象,这可能会导致释放后使用错误。如果 ThreadPool 上的任务在删除 SigningKeyPair 后需要访问它,则可能会发生这种情况。”

上周,研究人员警告称,威胁行为者一直在试图诱骗用户安装虚假更新以下载恶意软件,随后发布了该安全公告。

Trellix 在一篇博客文章中声称,最终目标是安装一个名为 NetSupport Manager 的远程管理软件工具来远程控制受害者机器并窃取信息。

该活动与疑似俄罗斯演员 SocGholish 有关,但 Trellix 并不能 100% 确定其归属。

需要帮助吗?联系我们的支持团队 在线客服