Google已針對Chrome網頁瀏覽器推出安全更新,以解決一個高危險性的零日漏洞,該漏洞據說已被利用。這個漏洞被分配了CVE標識CVE-2023-7024,被描述為WebRTC框架中的一個基於堆的緩衝區溢出漏洞,可能被利用來導致程序崩潰或任意代碼執行。Google威脅分析小組(TAG)的Clément Lecigne和Vlad Stolyarov被認為是於2023年12月19日發現並報告了這個漏洞。
為了防止進一步的濫用,沒有公開更多有關安全缺陷的細節,Google承認“針對CVE-2023-7024的利用程式存在。”鑑於WebRTC是一個開源項目,而且也得到了Mozilla Firefox和Apple Safari的支持,目前還不清楚這個漏洞是否會影響到Chrome和基於Chromium的瀏覽器之外。
此次開發標誌著自今年年初以來,Chrome第八個被積極利用的零日漏洞得到解決 –
- CVE-2023-2033 (CVSS score: 8.8) – Type confusion in V8
- CVE-2023-2136 (CVSS score: 9.6) – Integer overflow in Skia
- CVE-2023-3079 (CVSS score: 8.8) – Type confusion in V8
- CVE-2023-4762 (CVSS score: 8.8) – Type confusion in V8
- CVE-2023-4863 (CVSS score: 8.8) – Heap buffer overflow in WebP
- CVE-2023-5217 (CVSS score: 8.8) – Heap buffer overflow in vp8 encoding in libvpx
- CVE-2023-6345 (CVSS score: 9.6) – Integer overflow in Skia
根據Qualys編制的數據,截至2023年,總共有26,447個漏洞被公開,比前一年多出1,500多個CVE,其中有115個漏洞被威脅行為者和勒索軟件組織利用。
遠程代碼執行、安全功能繞過、緩衝區操作、權限提升和輸入驗證與解析漏洞成為最主要的漏洞類型。
建議用戶升級至Chrome版本120.0.6099.129/130(適用於Windows)和120.0.6099.129(適用於macOS和Linux)以緩解潛在威脅。同樣建議使用基於Chromium的瀏覽器(如Microsoft Edge、Brave、Opera和Vivaldi)的用戶,在修復程序可用時應用這些修復程序。
快按下你Chorme上的 說明 選 關於Google Chrome,再按更新吧!