Chrome 浏览器团队非常高兴地宣布将 Chrome 128 升级到 Windows、Mac 和 Linux 稳定版渠道。这将在未来几天/几周内推出。
Chrome 128.0.6613.84(Linux)128.0.6613.84/.85(Windows、Mac)包含大量修复和改进--变更列表可在日志中查看。请关注即将发布的 Chrome 和 Chromium 文章,了解 126.0.6613.84 中的新功能和重大改进。
Chrome 128.0.6613.84( Windows, Mac)也已推送至扩展稳定版频道。
已于 2024 年 8 月 26 日更新,以反映此版本发布后报告的对 CVE-2024-7965 的恶意利用。
安全修复和奖励
注意:在大多数用户更新修复之前,可能会限制访问错误详情和链接。如果错误存在于第三方库中,而其他项目也同样依赖该库,但尚未修复,我们也将保留限制。
本次更新包括 37 项安全修复。下面我们重点介绍由外部研究人员提供的修复。更多信息请参阅 Chrome 浏览器安全页面。
[$36000][358296941] 高 CVE-2024-7964: 密码中 free 后的使用。由匿名用户于 2024-08-08 报告
[$11000][356196918] 高危 CVE-2024-7965: 在 V8 中执行不当。由 TheDog 于 2024-07-30 报告
[$10000][355465305] 高危 CVE-2024-7966: Skia 中的越界内存访问。由 Renan Rios (@HyHy100) 在 2024-07-25 报告
[$7000][355731798] 高 CVE-2024-7967: 字体中的堆缓冲区溢出。由 Tashita Software Security 于 2024-07-27 报告
[$1000][349253666] 高 CVE-2024-7968: 自动填充中的释放后使用。由 Han Zheng (HexHive) 于 2024-06-25 报告
[TBD][360700873] 高危 CVE-2024-7971: V8 中的类型混淆。由 Microsoft Threat Intelligence Center (MSTIC)、Microsoft Security Response Center (MSRC) 于 2024-08-19 报告
[$11000][345960102] 中 CVE-2024-7972: 在 V8 中执行不当。由 Simon Gerst (intrigus-lgtm) 于 2024-06-10 报告
[$7000][345518608] 中 CVE-2024-7973:PDFium 中的堆缓冲区溢出。由 soiax 于 2024-06-06 报告
[$3000][339141099] 中 CVE-2024-7974:V8 API 中的数据验证不足。由 bowu(@gocrashed) 于 2024-05-07 报告
[$3000][347588491] 中 CVE-2024-7975:权限中的不当执行。由 Thomas Orlita 于 2024-06-16 报告
[$2000][339654392] 中 CVE-2024-7976: FedCM 中的不當執行。由 Alesandro Ortiz 于 2024-05-10 报告
[$1000][324770940] 中 CVE-2024-7977:安装程序中的数据验证不足。由 Kim Dong-uk (@justlikebono) 于 2024-02-11 报告
[$1000][40060358] 中 CVE-2024-7978:数据传输中的策略执行不足。由 NDevTK 于 2022-07-21 报告
[TBD][356064205] 中 CVE-2024-7979:安装程序中的数据验证不足。由 VulnNoob 于 2024-07-29 报告
[TBD][356328460] 中 CVE-2024-7980: 安装程序中的数据验证不充分。由 VulnNoob 于 2024-07-30 报告
[$1000][40067456] 低 CVE-2024-7981: 视图中的不当执行。由 Thomas Orlita 于 2023-07-14 报告
[$500][350256139] 低 CVE-2024-8033:WebApp 安装中的不当执行。由 Lijo A.T 于 2024-06-30 报告
[$500][353858776] 低 CVE-2024-8034:自訂標籤中的不當執行。由 Bharat (mrnoob) 于 2024-07-18 报告
[TBD][40059470] 低 CVE-2024-8035: 扩展中的不当实施。由 Microsoft 于 2022-04-26 报告
我们还要感谢所有在开发周期中与我们合作的安全研究人员,以防止安全漏洞进入稳定通道。
Google 意识到 CVE-2024-7971 和 CVE-2024-7965 的漏洞存在于野外。
与往常一样,我们正在进行的内部安全工作负责了大量的修复工作:
[361165957] 来自内部审计、模糊处理和其他举措的各种修复
我们的许多安全漏洞都是通过 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 或 AFL 检测到的。
有兴趣转换发布渠道?点击此处了解方法。如果发现新问题,请提交错误通知我们。社区帮助论坛也是寻求帮助或了解常见问题的好地方。
渝公网安备50010702505508