谷歌今天推出 Google Chrome v120.0.6099.234 (适用于 Mac 和 Linux) 和 v120.0.6099.235 版 (适用于 Windows)，此次更新谷歌修复四个安全问题。

下面是漏洞列表和描述：

CVE-2024-0517：漏洞等级高，属于 V8 引擎中的写入越界漏洞，由 Qrious Secure 的研究人员 Toan (suto) Pham 报告，漏洞奖金 16000 美元。

CVE-2024-0518：漏洞等级高，属于 V8 引擎中的类型混乱漏洞，由 ChaMd5-H1 团队的研究人员 Ganjian Zhou (@refrain_areu) 报告，漏洞奖金待定。

CVE-2024-0519：漏洞等级高，属于 V8 引擎中的内存访问漏洞，由匿名研究人员报告，漏洞奖金待定。

1518006：来自谷歌内部审计、模糊测试等发现的问题。

被利用的漏洞：

CVE-2024-0519 漏洞已经在谷歌接到报告前就遭到了利用，属于 0day 范畴。谷歌暂时没有透露漏洞细节，不过根据 NIST 上的描述，v8 引擎中的越界内存访问允许攻击者通过特制 HTML 页面触发堆栈损坏，这可以用来触发崩溃。

当然攻击者的目的肯定不是让 Chrome 崩溃，所以触发崩溃后应该还有下一步动作，只不过具体怎么攻击的暂时还不清楚。

建议使用 Google Chrome 的用户立即升级到最新版，蓝点网已经转存最新版离线安装包，有需要的用户可以通过蓝点网文件服务器获取更新：[2024年1月17日] 谷歌浏览器 v120.0.6099.235 正式版离线安装包 (注：为方便所有版本号均标记为 235，实际上 Mac 和 Linux 的为 234。)

另外其他浏览器包括 Microsoft Edge、Brave、Opera 等浏览器应该也会很快推出更新修复这些漏洞，建议用户关注更新。