谷歌紧急修复2023年第一个已遭利用的 Chrome 0day
编译:代码卫士
谷歌发布紧急Chrome 安全更新,修复今年第一个已遭利用的 0day 漏洞CVE-2023-2033。
谷歌在安全公告中指出,“谷歌发现 CVE-2023-2033 的 exploit 在野存在。”谷歌已发布适用于 Windows、Mac 和 Linux 系统的新版本,将在未来几天或几周时间内推向所有用户。用户应尽快升级至 112.0.5615.121版本,解决该问题。Chrome 浏览器也将自动查看新版本,无需用户交互,用户设备重启后即安装。
攻击详情未披露
该高危 0day 漏洞 (CVE-2023-2033) 是因为 Chrome V8 JavaScript 引擎中存在高危的类型混淆弱电造成的。该漏洞是由谷歌威胁分析团队 (TAG) 的研究员 Clement Lecigne 发现的。
TAG 经常发现并报告受政府支持威胁行动者发动的高针对性攻击,这些攻击者的目的是在高风险个人如记者、反对党派和异见人士的设备上安装监控软件。
尽管类型混淆漏洞通常可导致攻击者触发浏览器崩溃,但也可被用于在受陷设备上执行任意代码。虽然谷歌表示已了解用于攻击中的 CVE-2023-2033 0day exploit,但尚未共享更多详情。谷歌指出,“访问漏洞详情和链接在大多数用户更新安装修复方案前会得以限制。如果漏洞所在的第三方库是其它项目的依赖但这些项目并未修复,则我们将继续保持限制状态。”如此,谷歌 Chrome 用户可在技术细节发布前,升级浏览器并拦截攻击尝试。
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。