谷歌修复今年的第二个已遭利用 Chrome 0day
编译:代码卫士
谷歌发布 Chrome 安全更新,修复了今年以来已遭利用的第二个 0day 漏洞CVE-2023-2136。
谷歌在安全公告中指出,“谷歌已发现在野的CVE-2023-2136 exploit。”本次发布的Chrome 版本是112.0.5615.137,共修复了8个漏洞。稳定版仅供 Windows 和 Mac 用户使用,Linux版本将于不久后发布。
用户可通过Chrome设置目录,选择“帮助-关于 Google Chrome”来手动修复;或者谷歌在用户下次启动浏览器时将自动安装更新,无需用户交互,之后用户重启浏览器即可完成更新流程。
无利用详情
CVE-2023-2136是位于用C++编写的开源多平台2D图形库 Skia 中的一个高危整数溢出漏洞。Skia 为 Chrome 提供了一系列 API,可用于渲染图形、文本、形状、图像和动画,它被视作Chrome 渲染管道的一个关键组件。
当操作导致值超过既定整数类型的最大值时,就会触发整数溢出漏洞,通常或导致异常的软件行为或造成其它安全后果。在Skia 的案例中,该漏洞可能导致不正确的渲染、内存损坏和可导致越权系统访问的任意代码执行后果。该漏洞是由谷歌威胁分析团队 (TAG) 的研究员Clément Lecigne在本月初发现并报告的。
和往常一样,谷歌并未披露关于 CVE-2023-2136遭活跃利用的很多详情,引发很多人对于利用方法和相关风险的推测。
上周五,谷歌紧急修复了另外一个 0day 漏洞CVE-2023-2033,它是2023年以来Chrome 中存在的第一个已遭活跃利用的漏洞。
这类漏洞一般会遭高阶威胁行动者利用,很多时候这些组织受国家支持,他们一般会攻击位于政府、媒体或其它重要组织机构中的高级别个人。因此,建议所有 Chrome 用户尽快应用这些安全更新。
https://www.bleepingcomputer.com/news/security/google-patches-another-actively-exploited-chrome-zero-day/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。