行业新闻与博客

谷歌发布了最新版本的 Chrome 浏览器，解决了 26 个漏洞，其中包括 8 个严重缺陷。

Chrome 116 涵盖了各种功能的更新，包括离线、V8 引擎、设备信任连接器、全屏、网络、ANGLE 和 Skia。

Action1 漏洞和威胁研究副总裁兼联合创始人 Mike Walters 强调 CVE-2023-2312 是最严重的漏洞之一。Offline 中的释放后使用错误获得了 Google 30,000 美元的错误赏金奖励。

“问题源于需要回调的‘ScheduleDownload’函数。在这个函数中，指向 WebContents 对象的原始指针作为参数传递给回调，”他解释道。

“问题的根源在于无法确保执行回调时指向 WebContents 对象的指针仍然有效。因此，回调可能会尝试访问或操作无效或不存在的 WebContents 对象，从而导致释放后使用漏洞。”

另一个值得关注的释放后使用缺陷是 CVE-2023-4349，它会影响设备信任连接器，特别是 DeviceTrustKeyManager 和 ThreadPool 之间的交互。

“在当前的实现中，Device Trust SigningKeyPair（与加密签名相关的对象）存储在 DeviceTrustKeyManager 内的 unique_ptr 中。然而，在关闭过程中，包含 SigningKeyPair 的 unique_ptr 在线程池之前被删除，”Walters 解释道。

“负责管理和执行任务的线程池仍然引用已删除的对象，这可能会导致释放后使用错误。如果 ThreadPool 上的任务在删除 SigningKeyPair 后需要访问它，则可能会发生这种情况。”

上周，研究人员警告称，威胁行为者一直在试图诱骗用户安装虚假更新以下载恶意软件，随后发布了该安全公告。

Trellix 在一篇博客文章中声称，最终目标是安装一个名为 NetSupport Manager 的远程管理软件工具来远程控制受害者机器并窃取信息。

该活动与疑似俄罗斯演员 SocGholish 有关，但 Trellix 并不能 100% 确定其归属。