【漏洞通告】Google Chrome Dawn未初始化使用漏洞（CVE-2024-6990）

主要观点总结

文章介绍了Google Chrome浏览器中的一个名为Dawn组件的未初始化使用漏洞（CVE-2024-6990），该漏洞属于编码错误类型，攻击向量为网络，利用难度低，需要用户交互。该漏洞存在于Google Chrome版本低于127.0.6533.88/89的Windows、Mac和Linux系统中。文章还提到了Chrome中的其他两个漏洞（CVE-2024-7255和CVE-2024-7256）。目前该漏洞已经修复，用户应及时升级到最新版本的Google Chrome。

关键观点总结

关键观点1: 漏洞概述

介绍了Google Chrome浏览器中的Dawn组件存在的未初始化使用漏洞（CVE-2024-6990），该漏洞可能导致程序崩溃、信息泄露、拒绝服务攻击或代码执行。

关键观点2: 影响范围

Google Chrome（Windows/Mac）版本 < 127.0.6533.88/89 和 Google Chrome（Linux）版本 < 127.0.6533.88 的用户受到影响。

关键观点3: 安全措施

目前该漏洞已经修复，受影响用户可升级Google Chrome到最新版本。同时还提供了一些通用建议，如定期更新系统补丁、加强系统和网络的访问控制等。

文章预览

一、漏洞 概述 漏洞名称     Google Chrome Dawn未初始化使用漏洞 CVE   ID CVE-2024-6990 漏洞类型 编码错误 发现时间 2024-07-31 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用 未发现 Google Chrome是由Google公司开发的一款网页浏览器。Dawn是Chrome浏览器中用于实现WebGPU的一个关键组件，它为开发者提供了强大的图形处理能力和跨平台的兼容性。 2024年7月31日，启明星辰集团VSRC监测到Google发布安全更新，修复了Chrome Dawn组件中的一个未初始化使用漏洞（CVE-2024-6990），由于在代码中使用了未初始化的变量或数据，威胁者可利用该漏洞导致程序崩溃、信息泄露、拒绝服务攻击或可能导致代码执行。 此外，Chrome 还修复了WebTransport 中的越界读取漏洞（CVE-2024-7255），成功利用该漏洞可能导致信息泄露、程序崩溃 ………………………………