谷歌紧急修复已遭活跃利用的新 0day
编译:代码卫士
谷歌今天紧急修复了2023年以来第五个已遭利用的新 0day (CVE-2023-5217)。
谷歌发布安全公告指出,“谷歌发现CVE-2023-5217的一个利用已在野出现。”该漏洞已在Google Chrome 117.0.5938.132中修复,并为全球 Stable Desktop 渠道中的Windows、Mac 和 Linux 用户推出。
虽然安全公告指出,将花费数天或数周的时间才能将已打补丁版本推给所有用户,但实际上该更新已立即可用。Chrome 将在下一次启动时自动检查新更新是否存在并自动安装。
已被用于监控攻击中
这个高危0day 是由开源 libvpx 视频codec 库中的VP8 编码中的堆缓冲区溢出漏洞引发的,该漏洞可导致应用崩溃、任意代码执行等后果。
该漏洞是由谷歌威胁分析团队 (TAG) 安全研究员 Clément Lecigne 在9月25日发现并报送的。TAG 团队素以发现受政府支持的威胁行动者和黑客组织利用0day 攻击记者和反对党派而为人所知。
谷歌 TAG 团队的研究员 Maddie Stone 表示该漏洞用于安装监控软件。
谷歌TAG 还与公民实验室在上周五发现了苹果产品中的三个0day 漏洞被用于安装 Cytrox 的 Predator 监控软件。
尽管TAG 表示CVE-2023-5217 已遭在野利用,但并未披露更多详情,以便为用户争取更多修复时间,缓解威胁行动者创建自己的 exploit 并在真实场景中部署。
两周前,谷歌还修复了另外一个已遭利用的0day (CVE-2023-4863)。Chrome 后来将该漏洞分配了另外一个编号CVE-2023-5129,且评级为满分漏洞,将其视作 libwebp 中的一个严重漏洞。
https://www.bleepingcomputer.com/news/security/hackers-actively-exploiting-openfire-flaw-to-encrypt-servers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。