Red Hat 最近发布了一项重要的安全更新,针对 Red Hat Enterprise Linux 8 中的 WebKitGTK3 组件。该更新旨在修复多个漏洞,确保系统的安全性得到提升。
漏洞概述
Red Hat Product Security 将此次更新评定为“重要”,并提供了 Common Vulnerability Scoring System (CVSS) 基础分数,以详细评估每个漏洞的严重程度。以下是影响 WebKitGTK3 的具体漏洞:
- CVE-2024-4558:在 ANGLE 中发生了“use after free”漏洞,这可能导致程序崩溃。
- CVE-2024-40789:处理恶意crafted 的网页内容可能导致程序崩溃。
- CVE-2024-40780 和 CVE-2024-40779:这些漏洞涉及越界读取,通过改进的边界检查来修复。
- CVE-2024-40782:涉及“use-after-free”,通过改进的内存管理来修复。
- CVE-2024-40866:访问恶意网站可能导致地址栏伪造。
- CVE-2024-23271:恶意网站可能导致跨域行为异常。
- CVE-2024-27820:处理网页内容可能导致任意代码执行。
- CVE-2024-27838:恶意crafted 的网页可能会对用户进行指纹识别。
- CVE-2024-27851:处理恶意crafted 的网页内容可能导致任意代码执行。
- CVE-2024-44187:恶意网站可能会跨域泄露数据。
- CVE-2024-44185 和 CVE-2024-44244:处理恶意crafted 的网页内容可能导致程序崩溃。
- CVE-2024-44296:处理恶意crafted 的网页内容可能会阻止内容安全策略的执行。
修复措施
以下是具体的修复措施:
- BZ - 2279689:CVE-2024-4558 chromium-browser:在 ANGLE 中发生了“use after free”漏洞。
- BZ - 2302067:CVE-2024-40789 webkitgtk:处理恶意crafted 的网页内容可能导致程序崩溃。
- BZ - 2302069:CVE-2024-40780 webkitgtk:通过改进的边界检查来修复越界读取漏洞。
- BZ - 2302070:CVE-2024-40779 webkitgtk:通过改进的边界检查来修复越界读取漏洞。
- BZ - 2302071:CVE-2024-40782 webkitgtk:通过改进的内存管理来修复“use-after-free”漏洞。
- BZ - 2312724:CVE-2024-40866 webkitgtk:访问恶意网站可能导致地址栏伪造。
- BZ - 2314696:CVE-2024-23271 webkitgtk:恶意网站可能导致跨域行为异常。
- BZ - 2314698:CVE-2024-27820 webkitgtk:处理网页内容可能导致任意代码执行。
- BZ - 2314702:CVE-2024-27838 webkitgtk:恶意crafted 的网页可能会对用户进行指纹识别。
- BZ - 2314704:CVE-2024-27851 webkitgtk:处理恶意crafted 的网页内容可能导致任意代码执行。
- BZ - 2314706:CVE-2024-44187 webkitgtk:恶意网站可能会跨域泄露数据。
- BZ - 2323263:CVE-2024-44185 webkitgtk:处理恶意crafted 的网页内容可能导致程序崩溃。
- BZ - 2323278:CVE-2024-44244 webkitgtk:处理恶意crafted 的网页内容可能导致程序崩溃。
- BZ - 2323289:CVE-2024-44296 webkitgtk:处理恶意crafted 的网页内容可能会阻止内容安全策略的执行。
更多信息
更多关于这些安全问题的详细信息,包括影响、CVSS 分数、认可信息和其他相关信息,请参阅 CVE 页面中的参考部分。
通过这些修复措施,Red Hat 确保了 Red Hat Enterprise Linux 8 系统的安全性得到显著提升,用户应尽快更新以避免潜在风险。