导语:谷歌Chrome浏览器近期修复了一个存在于ANGLE组件中的高危堆缓冲区溢出漏洞,攻击者可利用恶意网络流量触发堆内存损坏。
正文
谷歌官方安全公告确认,Chrome浏览器140.0.7339.185版本之前存在一个严重的堆缓冲区溢出漏洞。该漏洞位于ANGLE(Almost Native Graphics Layer Engine)组件中,这是Chrome用于将OpenGL ES调用转换为桌面图形API的关键中间件。
安全研究人员发现,当浏览器处理特制的网络流量时,ANGLE组件未能正确验证缓冲区边界,导致攻击者可以在堆内存中写入超出分配区域的数据。这种堆损坏可被利用来执行任意代码,甚至实现浏览器沙箱逃逸。
该漏洞被评为”高危” severity级别,影响Windows、macOS和Linux平台的Chrome用户。谷歌已在最新版本中修复此问题,并强烈建议所有用户立即升级浏览器。
影响分析
此漏洞影响范围广泛,几乎所有使用Chrome 140.0.7339.185之前版本的用户均面临风险。企业环境中大量使用Chrome作为默认浏览器的组织尤其需要警惕,攻击者可通过钓鱼邮件或恶意广告分发利用代码。
防护建议
- 立即更新:将Chrome升级至140.0.7339.185或更高版本
- 启用自动更新:确保浏览器自动更新功能处于开启状态
- 禁用不必要的WebGL:对于高安全需求环境,可在设置中限制WebGL使用
- 警惕可疑链接:避免点击来源不明的邮件链接和广告
- 使用企业安全策略:IT管理员应通过组策略强制推送Chrome更新
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容