Chromium 时隔4年发布已修复的漏洞,实则并未修复
摘要
Chromium 中一个被认为4年前已修复的安全漏洞,被发现实际上仍未修复,凸显了浏览器安全修补过程中的重大疏忽。
<p><a href="https://lobste.rs/s/e7lsqn/chromium_publishes_fixed_exploit_4_years">评论</a></p>
相似文章
谷歌发布影响数百万Chromium用户的利用代码
谷歌发布了一个未修复的Chromium漏洞的利用代码,该漏洞可将浏览器变成一个受限的僵尸网络,影响Chrome、Edge及其他基于Chromium的浏览器。该漏洞在29个月后仍未得到修补。
Chrome团队发布有史以来修复最多安全漏洞的版本——继上月再创新高
Google Chrome在一次更新中修复了创纪录的429个安全缺陷,其中仅有四分之一来自外部研究人员,其余得益于支持Mythos的模型实现了自动化漏洞发现与修补。
2026年4月补丁星期二版本
微软2026年4月补丁星期二修复了创纪录的167个漏洞,包括一个正在被积极利用的SharePoint零日漏洞和一个公开披露的Windows Defender漏洞(BlueHammer),同时Google Chrome和Adobe Reader也修复了零日漏洞。
Linux漏洞、禁运失效与补丁窗口缩短
一份关于2026年5月发现的三个严重Linux本地权限提升漏洞的报告,强调了披露模型的崩溃及其对生产环境的影响。
CVE-2026-40369: 通过NtQuerySystemInformation实现任意内核地址递增
CVE-2026-40369 描述了 Windows 内核中 NtQuerySystemInformation 函数的一个漏洞,该漏洞允许任意内核地址递增,使无特权的进程(包括 Chrome 沙箱)能够提升权限。该利用在 Windows 11 24H2-25H2 上是确定性的。