Chrome、Firefox 和其他浏览器中发现零日安全漏洞

现在可以使用更新来修补 Chrome 漏洞，该漏洞允许攻击者运行恶意代码。

是时候更新 Google Chrome、Mozilla 的 Firefox 或 Thunderbird、Microsoft Edge、Brave 浏览器或 Tor 浏览器了； 网络开发新闻网站 堆栈日记 已经报道了一个 零日漏洞 在所有六种浏览器中都可能允许威胁行为者执行恶意代码。

跳到：

漏洞源自WebP阅读器

受影响浏览器的用户应更新到最新版本，以确保零日漏洞在其计算机上得到修补。 StackDiary 发现，问题不在于浏览器，该漏洞源自 WebP 编解码器。

其他受影响的应用程序包括：

• 亲和力。
• 瘸子。
• 墨景。
• 自由办公室。
• 电报。
• 许多安卓应用程序。
• 使用 Flutter 构建的跨平台应用程序。

基于 Electron 构建的应用程序也可能受到影响； 电子 发布了一个补丁。

StackDiary 指出，许多应用程序使用 WebP 编解码器和 libwebp 库来渲染 WebP 图像。

请参阅：Check Point Software 发现 网络安全攻击 来自新派（AI）和旧派（神秘掉落的USB）。 （科技共和国）

更详细地说，WebP 中的堆缓冲区溢出允许攻击者执行越界内存写入， 美国国家标准技术研究院说。 StackDiary 解释说，堆缓冲区溢出允许攻击者通过“溢出”程序中的数据量来插入恶意代码。 由于这种特定的堆缓冲区溢出以编解码器（本质上是让计算机渲染 WebP 图像的转换器）为目标，因此攻击者可以创建嵌入恶意代码的图像。 从那里，他们可以窃取数据或用恶意软件感染计算机。

StackDiary 表示，该漏洞首先由苹果安全工程和架构团队以及多伦多大学公民实验室于 9 月 6 日发现。

用户应该采取什么步骤？

Google、Mozilla、Brave、Microsoft 和 Tor 已针对此漏洞发布了安全补丁。 运行这些应用程序的个人应该更新到最新版本。 对于其他应用程序，这是一个持续存在的漏洞，可能不存在补丁； 美国国家标准技术研究所 指出该漏洞尚未得到全面分析。

NIST 将该漏洞归类为严重漏洞，并建议用户停止使用尚未提供补丁的应用程序。 根据需要单独检查您的申请。