Chrome修复漏洞CVE-2024-10487和CVE-2024-10488

Google Chrome是由谷歌公司开发的网页浏览器，凭借着其优秀的性能、出色的兼容性以及丰富的扩展程序，赢得了全球广大用户的信任。

Google Chrome浏览器基于其他开源软件（包括WebKit和Mozilla）开发，任何人都可根据自身需要使用、修改或增强这一浏览器的功能。

一、基本情况

Dawn前身为NXT，是开源跨平台WebGPU标准实现，是谷歌浏览器实现WebGPU的关键组件，提供强大图形处理能力和跨平台的兼容性。

Dawn通过提供一个C/C++ API，几乎一对一地映射到WebGPU IDL，这就使得开发者可以在Web浏览器等大型系统中轻松管理WebGPU。

WepTC (Web Real-Time Communications) 是一项实时通讯技术，谷歌浏览器通过其创建点对点（Peer-to-Peer）数据分享和电话会议。

WepTC允许网络应用或者站点不借助中间媒介建立点对点（Peer-to-Peer）连接，实现视频流和（或）音频流或者其他任意数据的传输。

栋科技关注到Google Chrome于2024年10月29日发布安全公告推出安全更新，用于修复CVE-2024-10487和CVE-2024-10488等安全漏洞。

二、漏洞分析

CVE-2024-10487

CVE-2024-10487漏洞是Chrome中的一个越界写入漏洞，由苹果安全工程和架构（SEAR）于2024年10月23日上报，其CVSS3.1评分为8.8。

该漏洞位于 Chrome Dawn 图形库组件，可通过诱导受害者访问恶意HTML页面利用，可能导致程序崩溃、敏感信息泄露或任意代码执行。

CVE-2024-10488

CVE-2024-10488漏洞是WepTC中的一个Use-After-Free漏洞，由安全人员Cassidy Kim于2024年10月18日时上报，其CVSS3.1评分为8.8。

攻击者可通过诱导受害者访问恶意HTML页面来利用该漏洞，可能导致浏览器崩溃、获取内存敏感信息或在受害者设备上执行恶意代码。

Google Chrome稳定渠道更新至130.0.6723.91/.92（适用于Windows、Mac）和130.0.6723.91（适用于Linux），用于修复上述高危漏洞。

三、 影响范围

Google Chrome（Windows/Mac）版本 < 130.0.6723.91/.92

Google Chrome（Linux）版本 < 130.0.6723.91

四、 修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Google Chrome（Windows/Mac）版本 >= 130.0.6723.91/.92

Google Chrome（Linux）版本 >= 130.0.6723.91

五、 参考链接

https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html