美国 CISA 将 Google Chromium V8 漏洞添加到其已知利用漏洞目录中

美国网络安全和基础设施安全局 （CISA） 将 Google Chromium V8 漏洞添加到其已知利用漏洞目录中。

美国网络安全和基础设施安全局 （CISA） 将 Google Chromium V8 不当实施漏洞 CVE-2024-38856（CVSS 评分为 8.8）添加到其已知利用漏洞 （KEV） 目录中。

本周谷歌发布了一项安全更新，以解决被积极利用的 Chrome 零日漏洞 CVE-2024-7965。

该漏洞是 Chrome 的 V8 JavaScript 引擎中存在的不适当的实现问题。

“谷歌知道 CVE-2024-7971 和 CVE-2024-7965 的漏洞正在广泛存在。”阅读公司发布的公告，该公告未分享有关利用该问题的攻击的详细信息。“对错误详细信息和链接的访问可能会受到限制，直到大多数用户都更新了修复程序。如果该错误存在于其他项目类似依赖但尚未修复的第三方库中，我们也将保留限制。

“如果该错误存在于其他项目类似依赖但尚未修复的第三方库中，我们也将保留限制。”

安全研究员 TheDog 于 2024 年 7 月 30 日报告了该漏洞。

Google 通过适用于 Windows/macOS 的 128.0.6613.84/.85 和 128.0.6613.84 （Linux） 版本解决了此漏洞。该公司将在未来几周内为 Stable Desktop 频道中的所有用户发布版本。

根据具有约束力的操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 9 月 18 日之前修复此漏洞。