查看原文
其他

谷歌紧急修复2023年的第六个 0day

Sergiu Gatlan 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



今天谷歌发布关于多个漏洞的安全更新,其中修复了一个 Chrome 0day 漏洞 CVE-2023-6345,是今年修复的第6个 0day。

谷歌证实称目前已存在关于 CVE-2023-6345的在野利用。该漏洞已在 Stable Desktop 频道修复,已修复版本已向全球的Windows 用户 (119.0.6045.199/.200) 和 Mac 与 Linux 用户 (119.0.6045.199) 推出。

尽管谷歌在安全公告中指出,数天或数周的时间后,安全更新才会到达整个用户数据库,但实际上目前已经到位。Chrome 浏览器会自动检查新更新,不希望手动安装的用户可在下次重启时安装更新。


可能被用于间谍攻击

这个高危 0day 漏洞是因为开源的2D 图形库 Skia 中的整数溢出弱点造成的,可导致崩溃、任意代码执行等后果。其它产品如 ChromeOS、安卓和 Flutter 还将Skia 用作图形引擎。

该漏洞由谷歌威胁分析组织的两名安全研究员 Benoît Sevens 和 Clément Lecigne报送。谷歌指出,在多数用户更新Chrome 后才会公开该0day 详情,如果其它项目所依赖或尚未修复的第三方库中也存在该漏洞,则仍然不公开详情。这样做的目的是减少威胁行动者利用漏洞技术详情自制 exploit。

9月份,谷歌修复了已遭利用的两个其它 0day(CVE-2023-5217和CVE-2023-4863),是今年以来修复的第四个和第五个0day 漏洞。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

谷歌紧急修复已遭活跃利用的新 0day

谷歌紧急修复已遭利用的 Chrome 0day

谷歌发布2022年在野利用0day年度回顾报告

苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得



原文链接
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/

题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存