Google Chrome<125.0.6374.0 WebCodecs远程代码执行漏洞【POC公开】

来源: 投稿
2024-07-02 10:30:00

漏洞描述

Google Chrome 是 Google 公司开发的网页浏览器。WebCodecs API 用于提供编解码工具处理媒体数据,VideoFrame 是 WebCodecs API 中用于处理视频帧的对象。

受影响版本中,由于 VideoFrame 对象的 copyTo 方法支持将 VideoFrame 的内容异步复制到用户提供的 ArrayBuffer、DataView 或 TypedArray 时存在释放后使用漏洞,当浏览器启用 Compositing: Hardware Accelerated 硬件加速时(默认启用),访问恶意网页可造成浏览器崩溃或远程代码执行,该漏洞已在Pwn2Own比赛中利用。

漏洞名称 Google Chrome<125.0.6374.0 WebCodecs远程代码执行漏洞【POC公开】
漏洞类型 UAF
发现时间 2024-07-01
漏洞影响广度 Small
MPS编号 MPS-pdi8-kvw6
CVE编号 CVE-2024-2886
CNVD编号 -

影响范围

chromium@(-∞, 125.0.6374.0)

chrome@(-∞, 125.0.6374.0)

chromium@影响所有版本

chromium@影响所有版本

chromium@影响所有版本

edge@(-∞, 123.0.2420.65)

chromium@(-∞, 123.0.6312.86-1~deb12u1)

chromium@影响所有版本

chromium@影响所有版本

chromium@(-∞, 123.0.6312.86-1)

chromium@影响所有版本

chromium@(-∞, 123.0.6312.86-1)

chromium@影响所有版本

修复方案

将组件 chromium 升级至 123.0.6312.86-1~deb12u1 及以上版本

将组件 chromium 升级至 123.0.6312.86-1 及以上版本

将组件 chromium 升级至 125.0.6374.0 及以上版本

将组件 chrome 升级至 125.0.6374.0 及以上版本

将组件 edge 升级至 123.0.2420.65 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-pdi8-kvw6

https://nvd.nist.gov/vuln/detail/CVE-2024-2886

https://issues.chromium.org/issues/330563095

https://github.com/chromium/chromium/commit/fdc363eb7a1c1c194a02a4cb340534b1501b0f95

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
分享
返回顶部
顶部