美国网络安全和基础设施安全局 (CISA) 将 Google Chromium V8 漏洞添加到其已知利用漏洞目录中。
美国网络安全和基础设施安全局 (CISA) 将 Google Chromium V8 不当实施漏洞 CVE-2024-38856(CVSS 评分为 8.8)添加到其已知利用漏洞 (KEV) 目录中。
本周谷歌发布了一项安全更新,以解决被积极利用的 Chrome 零日漏洞 CVE-2024-7965。
该漏洞是 Chrome 的 V8 JavaScript 引擎中存在的不适当的实现问题。
“谷歌知道 CVE-2024-7971 和 CVE-2024-7965 的漏洞正在广泛存在。”阅读公司发布的公告,该公告未分享有关利用该问题的攻击的详细信息。“对错误详细信息和链接的访问可能会受到限制,直到大多数用户都更新了修复程序。如果该错误存在于其他项目类似依赖但尚未修复的第三方库中,我们也将保留限制。
“如果该错误存在于其他项目类似依赖但尚未修复的第三方库中,我们也将保留限制。”
安全研究员 TheDog 于 2024 年 7 月 30 日报告了该漏洞。
Google 通过适用于 Windows/macOS 的 128.0.6613.84/.85 和 128.0.6613.84 (Linux) 版本解决了此漏洞。该公司将在未来几周内为 Stable Desktop 频道中的所有用户发布版本。
根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。
专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2024 年 9 月 18 日之前修复此漏洞。