查看原文
其他

谷歌紧急修复2023年第一个已遭利用的 Chrome 0day

Sergiu Gatlan 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



谷歌发布紧急Chrome 安全更新,修复今年第一个已遭利用的 0day 漏洞CVE-2023-2033。

谷歌在安全公告中指出,“谷歌发现 CVE-2023-2033 的 exploit 在野存在。”谷歌已发布适用于 Windows、Mac 和 Linux 系统的新版本,将在未来几天或几周时间内推向所有用户。用户应尽快升级至 112.0.5615.121版本,解决该问题。Chrome 浏览器也将自动查看新版本,无需用户交互,用户设备重启后即安装。



攻击详情未披露

该高危 0day 漏洞 (CVE-2023-2033) 是因为 Chrome V8 JavaScript 引擎中存在高危的类型混淆弱电造成的。该漏洞是由谷歌威胁分析团队 (TAG) 的研究员 Clement Lecigne 发现的。

TAG 经常发现并报告受政府支持威胁行动者发动的高针对性攻击,这些攻击者的目的是在高风险个人如记者、反对党派和异见人士的设备上安装监控软件。

尽管类型混淆漏洞通常可导致攻击者触发浏览器崩溃,但也可被用于在受陷设备上执行任意代码。虽然谷歌表示已了解用于攻击中的 CVE-2023-2033 0day exploit,但尚未共享更多详情。谷歌指出,“访问漏洞详情和链接在大多数用户更新安装修复方案前会得以限制。如果漏洞所在的第三方库是其它项目的依赖但这些项目并未修复,则我们将继续保持限制状态。”如此,谷歌 Chrome 用户可在技术细节发布前,升级浏览器并拦截攻击尝试。






代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌在三星Exynos 芯片集中发现18个0day漏洞

谷歌:国家黑客组织仍然在利用IE 0day

谷歌紧急修复今年已遭利用的第9个0day

谷歌Chrome紧急修复已遭利用的 V8类型混淆0day



原文链接

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存