谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

最新推荐文章于 2024-09-05 14:15:00 发布
最新推荐文章于 2024-09-05 14:15:00 发布
阅读量239 收藏
点赞数
文章标签: chrome 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519170&idx=1&sn=31612ff9461ff59184a818b76f04c198&chksm=ebfe4b973ccaacc5dbc988223132ba517405994a58e6a94f3763f0ab20c3c51cf269c84fa2f3&scene=126&sessionid=0
版权

5c43055638c0c28e3010f57f83c9a043.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。

第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembly 中的一个高危类型混淆漏洞。Manfred Paul 在大赛第一天演示了这个漏洞,通过构造的HTML页面即可用作双击远程代码执行 (RCE) 利用的一部分,攻击 Chrome 和 Edge浏览器。

第二个0day漏洞是CVE-2024-2886,由 KAIST Hacking Lab的研究员Seunghyun Lee 在 CanSecWest Pwn2Own 大赛第二天利用。它是位于 WebCodecs API 中的一个UAF漏洞,该API 可供 web 应用编码和解码音视频内容,使远程攻击者通过多个构造的 HTML 页面执行任意读/写。Lee 还利用CVE-2024-2886,通过针对Chrome 和 Edge 的单一利用获得远程代码执行权限。

谷歌在 Chrome 稳定渠道版本123.0.6312.86/.87(Windows 和 Mac版本)和123.0.6312.86(Linux 版本)中修复了这两个漏洞。这些新版本将在未来几天内向全球发布。Firefox 也在大赛报送两个0day的同一天修复了它们。

虽然Mozilla 仅用了一天而谷歌仅用了五天来修复这些漏洞,但厂商通常会在ZDI规定的90天期限内完成修复。1月份,谷歌还修复了Chrome中的一个已遭活跃利用的漏洞 (CVE-2024-0519),它可导致攻击者访问敏感信息或者导致未修复浏览器崩溃,原因是 Chrome V8 JavaScript 引擎中存在界外内存访问弱点。

Pwn2Own 温哥华大赛在3月22日落下帷幕。大赛共发现29个唯一0day,颁发1132500美元的赏金。Manfred Paul 以202500美元的赏金摘得桂冠,成功攻破苹果Safari、谷歌Chrome 和微软 Edge浏览器。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day

Pwn2Own 2024温哥华大赛落幕  Master of Pwn 诞生

首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生

Pwn2Own 2024温哥华大赛目标和奖金公布

Pwn2Own 2023多伦多大赛落幕  Master of Pwn诞生

原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

88f0b8253a7ba1ec2bd5631e1721ae33.jpeg

6ab0070fd97696e4fc15f1e6d851e688.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   61146a984f5979fc359cd0a8ac9b2359.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m...
google_pwn2own
04-10
Pwn2own(发音为“pawn to own”)是一个年度网络安全竞赛,由Trend Micro的Zero Day Initiative(ZDI)主办。该比赛旨在揭示并解决浏览器和其他常用软件中的安全漏洞。参赛者通常会尝试利用未知的、未公开的安全...
Pwn2Own 2023多伦多大赛目标和奖金发布
smellycat000的专栏
07-14 664
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士2023年 Pwn2Own 大赛将于10月24至27日在趋势科技多伦多代表处举行。本次大赛仍然可远程参赛且会向现场参赛的前几届大会的获胜者们补贴最高3000美元的差旅费。大赛将接待一定数量的希望到场并观摩大赛的与会人员。选择远程参赛的人员的报名截止日期同样是10月19日,需要提交参赛目标、完整解释利用链的详细白皮书以及在注册期间结束时提供如何运行...
自学网络安全?一般人我还是劝你算了吧
BlueSocks152的博客
01-07 358
本人8年网络安全经验,在学网络安全之前对电脑的认知也就只限于上个网,玩个办公软件。这里不能跑题,我为啥说:自学网络安全,一般人我还是劝你算了吧?因为我就是那个一般人!网络安全基础真的很简单,是个人稍微认真点都能懂,这就是好多人说网络安全简单、易懂、好学,然后就是一顿浮夸的言论,误导那些小白,这里我就给那些轻浮的人泼一桶冷水,懂和学会是一码事吗?
网络安全领域含金量最高的5大赛事,每个网安人的梦!
最新发布
2401_85026116的博客
09-05 263
做网络安全一定要知道的5大赛事,含金量贼高,如果你能拿奖,国内大厂随你挑,几乎是每个有志网安人的梦!这些比赛不仅提供了一个展示和测试技能的平台,还有机会与来自全球的顶级安全专家交流和学习。参加这些赛事可以提高网络安全技能,并在行业中建立声誉。参加比赛对技术要求很高,我自己也参加很多CTF比赛,总结出来了很多赛事经验,可以给大家分享。最后给大家附上我自己整理的网安最新最全的学习路线图,具体细分的技术都已明确写出:网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知
谷歌紧急修复周内第3个已遭利用的0day
smellycat000的专栏
05-16 232
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Mac/Windows版和 125.0.6422.60 Linux版,修复了这个漏洞。这些新版本将在未来几周内向 Stab...
网络安全最出名的5大赛事,含金量贼高,每个网安人的梦!
logic1001的博客
08-22 4255
可以不参加,但不能不知道
首届Pwn2Own 汽车大赛目标和奖金公布
smellycat000的专栏
08-30 148
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI将在2024年1月24日至26日日本东京举行的全球汽车大会上,主持首届专注于汽车系统的 Pwn2Own 大赛。ZDI 在今天宣布了大赛目标和奖金。大赛的三大主要目标包括:1、提供鼓励汽车研究的场所。研究人员可提交针对多种产品和平台的漏洞报告并获得经济奖励。2、激励厂商参与安全研究社区。链接全球的安全研究人员社区与汽车厂商,改进汽车安全性和弹...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Re2Own:著名的Pwn2Own的模仿
05-02
Pwn2Own的宝藏 该存储库/项目是每年在著名的cansecwest会议上举办的著名Pwn2Own竞赛的模仿,该竞赛的目标是跨越各种平台和主机体系结构的各种目标。 从逆向工程师的角度来看,该项目的大部分工作将集中于理解漏洞...
《从CTF到Pwn2Own》(2).pdf
08-24
《从CTF到Pwn2Own》(2)
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
Pwn2Own 2023多伦多大赛落幕 Master of Pwn诞生
smellycat000的专栏
10-30 388
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期四天的Pwn2Own 多伦多2023大赛落下帷幕,Viettel 团队以18万美元的赏金和30个积分点获得 Master of Pwn大赛冠军。大赛共向发现58个唯一 0day 的研究团队发放共计近104万 (1038500) 美元的赏金。本文是对每天的比赛情况的编译。大赛目标和奖金可点击了解:Pwn2Own 2023多伦多大赛目标和奖金发布...
朝鲜黑客扔出了【榴莲】,全新Golang恶意软件横行;紧急!Chrome0day漏洞已遭黑客利用;恶意Python包伪装成Requests库分支 | 安全周报0517
weixin_55163056的博客
05-17 1100
朝鲜黑客部署了一种新型Golang恶意软件“榴莲”,针对两家韩国加密货币公司进行网络攻击。谷歌在Android 15中推出新功能,保护用户免受诈骗和恶意应用的侵害,第三方开发者可利用Play Integrity API保护应用。Cacti框架存在严重安全漏洞,可能让攻击者执行恶意代码,维护者已解决十几个漏洞。谷歌发布紧急修复程序,解决Chrome浏览器中的新零日漏洞CVE-2024-4761,该漏洞已在野外被积极利用。网络安全研究人员发现恶意Python包
Pwn2Own 2024温哥华大赛落幕 Master of Pwn 诞生
smellycat000的专栏
03-25 489
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期两天的Pwn2Own 温哥华2024大赛落下帷幕。大赛发现29个唯一0day,颁发赏金1132500美元,Master of Pwn 的桂冠由 Manfred Paul 以202500美元的赏金25个积分点摘得。参与厂商将有90天的时间来修复这些漏洞。大赛目标和奖金介绍可见:Pwn2Own 2024温哥华大赛目标和奖金公布第一天赛况战果战...
Pwn2Own 2024温哥华大赛目标和奖金公布
smellycat000的专栏
01-18 494
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI 指出,2024年的 Pwn2Own 大赛将于2024年3月20日至22日在温哥华 CanSecWest 举行。本次大赛共分8个类别,并将简化“汽车”类别并新增“云原生/容器”类别。本次大赛的总奖金池超过100万美元,合作伙伴是特斯拉。“汽车”类别将取消多层级目标,仅关注漏洞影响和在车辆目标组件中实现代码执行情况。对于某些目标而言,需要在多...
Pwn2Own黑客大赛发现特斯拉、微软、Ubuntu漏洞
weixin_39915649的博客
04-14 209
在此次的黑客大赛上,参赛队伍发现了Microsoft、Oracle 、Mozilla Firefox、Ubuntup、Apple Safari、Telsa中存在的漏洞问题。
Pwn2Own 2010:Windows 7 Internet Explorer 8 漏洞利用技术分析
"Pwn2Own2010 Windows 7 Internet Explorer 8 漏洞利用技术概述" 本文将简要介绍在2010年Pwn2Own比赛上,针对Windows 7系统中Internet Explorer 8(IE8)的一个漏洞利用技术。此技术涉及到绕过地址空间布局随机化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值