3月28日，Google宣布Chrome瀏覽器新版本已發(fā)布，針對Windows和Mac系統(tǒng)的版本為123.0.6312.86以及123.0.6312.87，Linux用戶則使用123.0.6312.86版。

此次更新重點填補了7項安全漏洞，包括Pwn2Own Vancouver 2024系列活動中所演示的兩個零日漏洞。

以下將對兩個重要漏洞進行簡要介紹：

首先，CVE-2024-2887漏洞位于WebAssembly 開放標準中，屬高危類型混亂漏洞。安全專家Manfred Paul利用此漏洞構(gòu)建了一個HTML網(wǎng)頁，用戶若點擊該網(wǎng)頁便可能導致遠程執(zhí)行代碼攻擊。

其次，CVE-2024-2886漏洞由KAIST黑客實驗室的Seunghyun Lee在CanSecWest Pwn2Own競賽第二天才公開揭示的。這是一種use-after-free類漏洞，主要出現(xiàn)在WebCodecs API中。

許多網(wǎng)頁應用都會調(diào)用這個API來處理音視頻內(nèi)容，因此攻擊者可以利用這個漏洞通過精心設計的HTML頁面，輕松執(zhí)行讀/寫操作。