当前位置: 首页 > news >正文

每天做任务得钱的网站免费网站建设 免备案

每天做任务得钱的网站,免费网站建设 免备案,免费做网站收录的,centos启动wordpress【严重】Google Chrome V8< 13.7.120 沙箱绕过漏洞 漏洞描述 V8 是 Google 开发的一款开源高性能 JavaScript 和 WebAssembly 引擎&#xff0c;广泛用于 Chrome 浏览器和 Node.js 等项目中。 受影响版本中&#xff0c;JsonParser::MakeString 函数在处理长度为 1 的转义字…

【严重】Google Chrome V8< 13.7.120 沙箱绕过漏洞

漏洞描述

V8 是 Google 开发的一款开源高性能 JavaScript 和 WebAssembly 引擎,广泛用于 Chrome 浏览器和 Node.js 等项目中。
受影响版本中,JsonParser::MakeString 函数在处理长度为 1 的转义字符串时存在二次获取问题。函数先检查是否含转义符,再调用 DecodeString 解码。若此期间字符串被篡改,DecodeString 会基于过时检查结果解码并写入仅 2 字节的栈缓冲区,导致栈溢出漏洞。
修复版本通过重构 JsonParser::DecodeString,引入长度计数器,并在每个转义序列处理后更新剩余长度。关键修复是在解码前添加 SBXCHECK_GE(length, 2) 校验,确保缓冲区足够,防止溢出。

MPS编号MPS-id8s-k96g
CVE编号-
处置建议建议修复
发现时间2025-07-28
利用成本
利用可能性
是否有POC

影响范围

影响组件受影响的版本最小修复版本
chrome(-∞, 137.0.7137.0)137.0.7137.0
v8(-∞, 13.7.120)13.7.120
chromium(-∞, 137.0.7137.0)137.0.7137.0

参考链接

https://www.oscs1024.com/hd/MPS-id8s-k96g

https://issues.chromium.org/issues/396446145

https://github.com/v8/v8/commit/281cd945b242b2c32aef0b2c79dbe84e9d098f0c

排查方式

手动排查

检查V8版本:执行node -p process.versions.v8v8 -v,确认是否<13.7.120。
检查Chrome版本:访问chrome://version,查看版本是否<137.0.7137.0。
检查Chromium版本:查看版本信息,确认是否<137.0.7137.0。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=TJ8O

提交漏洞情报:https://www.murphysec.com/bounty

处置方式

应急缓解方案

  1. 启用Chrome浏览器内置的站点隔离功能,路径:chrome://flags/#site-isolation-trial-enabled,设置为Enabled并重启浏览器
  2. 配置内容安全策略(CSP),限制不可信来源的JavaScript执行
  3. 暂时禁用对不受信任网站的JavaScript支持,路径:设置 > 隐私和安全 > 网站设置 > JavaScript > 不允许任何网站运行JavaScript
  4. 启用Chrome安全浏览功能,路径:设置 > 隐私和安全 > 安全 > 开启"增强型保护"模式
  5. 对关键业务系统,限制仅允许访问可信域名列表

根本修复方案

  1. 将Google Chrome浏览器升级至137.0.7137.0或更高版本,通过官方渠道获取更新:chrome://settings/help
  2. 将Chromium浏览器升级至137.0.7137.0或更高版本,通过官方源码仓库编译更新
  3. 将V8引擎独立部署环境升级至13.7.120或更高版本,通过官方仓库获取更新:https://github.com/v8/v8
  4. 对基于Electron、Node.js等使用V8引擎的应用程序,升级至包含修复版本V8引擎的应用版本
  5. 配置自动更新机制,确保所有终端设备能及时获取安全更新
  6. 升级完成后,验证版本号:chrome://version 确认各项组件版本达标
http://www.dtcms.com/a/463306.html

相关文章:

  • 【开题答辩实录分享】以《制造型企业供应商档案管理系统设计与开发》为例进行答辩实录分享
  • 海城网站制作wordpress 发布 软件
  • socket通信 tcp的客户端与服务端,双方能进行收发
  • 凡科建站公司wordpress开启xml-rpc
  • 柳州建设公司网站网站建设公司招聘面试
  • 服装辅料东莞网站建设英文网站建设用途
  • 上海建设厅网站首页科学小制作
  • php 网站建设方案网站开发命名规则
  • 做网站时怎么取消鼠标悬停一个新产品策划方案
  • 备份整个网站免费网站模板软件
  • 怎样做境外网站清河网站建设价格
  • 网站加载特效代码写软文用什么软件
  • 互联网产品设计徐州seo外包公司
  • 成都做网站建设公司教育类网站 前置审批
  • JavaScript 类继承
  • 响应式网站什么意思报名网站辽宁省建设银行
  • HTTP加密版本——“HTTPS”
  • 迅速网站wp网站建设模板
  • 美食网站建设页面要求昆明网站建设c3sales
  • Python 字典与条件语句详解
  • 怎么用手机制作网站网站怎么做内链接地址
  • 罗定市住房和城乡建设局网站WordPress自己安装了插件
  • java应用dubbo接口超时问题分析,数据库方向
  • 免费的开发网站建设易居系统登录
  • 网站建设中的功能模块描述网站开发的学习路线
  • 个人网站自己怎么做网站首页
  • 第28节:网络同步与多人在线3D场景
  • 怎么做网站报告小勐拉网站建设
  • 小游戏网站网址个人网站示例
  • dedeseo网站wordpress 分类文章数