Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222)

漏洞类型 UAF 发现时间 2024-01-04 漏洞等级 高危
MPS编号 MPS-ler0-8tok CVE编号 CVE-2024-0222 漏洞影响广度 广

漏洞危害

OSCS 描述
Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 Vulkan,广泛用于图形渲染和游戏应用中。glCopyTexImage2D是OpenGL的一个函数,用于从当前的缓冲区中复制像素到一个二维纹理图像。
Google Chrome 120.0.6099.199 之前版本中,当 Vulkan 调用 glCopyTexImage2D 函数复制同源的纹理时会触发释放后使用漏洞,攻击者可诱导用户访问恶意制作的 HTML 页面造成浏览器崩溃或远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-ler0-8tok

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
chromium (-∞, 120.0.6099.199) 升级 将 chromium 升级至 120.0.6099.199 及以上版本
chrome (-∞, 120.0.6099.199) 升级 升级chrome到 120.0.6099.199 或更高版本
缓解措施 避免打开不受信任的网页
参考链接:https://www.oscs1024.com/hd/MPS-ler0-8tok

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-ler0-8tok

https://nvd.nist.gov/vuln/detail/CVE-2024-0222

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop.html

https://crbug.com/1501798

https://github.com/google/angle/commit/b8ca8de438417fefeb821d184322b26cb5d56a2c

(0)
上一篇 2024年1月4日 下午12:00
下一篇 2024年1月5日 下午12:00

相关推荐

  • Google Chrome <116.0.5845.96 任意文件读取漏洞【poc已公开】 (CVE-2023-4357)

    漏洞类型 输入验证不恰当 发现时间 2023-11-17 漏洞等级 高危 MPS编号 MPS-cv7p-l1wh CVE编号 CVE-2023-4357 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。 Google Chrome 在116.0.5845.96版本之前,默认使用的xsl库调用do…

    2023年11月20日
    0
  • PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

    漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重 MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。 Paddle…

    2024年1月4日
    0
  • Apache Superset where_in SQL注入漏洞 (CVE-2023-49736)

    漏洞类型 SQL注入 发现时间 2023-12-20 漏洞等级 中危 MPS编号 MPS-7r6y-8nmd CVE编号 CVE-2023-49736 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 Apache Superset 中存在一个名为 where_in 的 JINJA 宏,where_…

    2023年12月20日
    0
  • Apache Airflow信息泄漏漏洞 (CVE-2023-45348)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-14 漏洞等级 高危 MPS编号 MPS-ovuh-jial CVE编号 CVE-2023-45348 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。”expose_co…

    2023年10月16日
    0
  • Apache Zeppelin Shell解释器 命令执行漏洞 (CVE-2024-31861)

    漏洞类型 OS命令注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-dxnp-u5h3 CVE编号 CVE-2024-31861 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。 Apache Zeppelin 中 sh 解释器类型的 noteb…

    漏洞 2024年4月15日
    0