Google 昨日針對 Windows、Mac 和 Linux 平臺分別釋出 Chrome 112.0.5615.137/138、112.0.5615.137,以及 112.0.5615.165 版本,預計會在未來幾天到幾周內向全球用戶部署完成,以修補數項安全漏洞。
第一個被修補的漏洞是 CVE-2023-2033,它是具有高嚴重性等級的 V8 漏洞類型混淆,Google 威脅分析組的 Clément Lecigne 於 2023-04-11 發現了該漏洞。駭客可以利用這個漏洞來遠程執行任意代碼。當成功利用這個零時差漏洞時,它會通過讀取或寫入緩衝區範圍之外的內存,導致瀏覽器崩潰。
其中一個漏洞是 CVE-2023-2136,由 Google 威脅分析小組研究人員 Clément Lecigne 通報。本漏洞屬於高風險,影響所有 Chromium-based 瀏覽器,包括 Edge、Brave、Opera 和 Vivaldi 等。CVE-2023-2136 已經被發現有濫用活動,是 Chrome 上今年發現的第 2 個零時差漏洞。它影響 Chrome 的開源 2D 繪圖函式庫 Skia,為一整數溢位(Integer overflow)漏洞,可讓之前已破壞渲染器(renderer)行程的遠端攻擊者傳送惡意HTML 網頁,執行沙箱逃逸(sandbox escape),而在用戶機器上執行惡意活動。
我們建議用戶升級到 Windows 版本 112.0.5615.137/138、macOS 版本 112.0.5615.137 和 Linux 版本 112.0.5615.165 以減輕潛在威脅。還建議 Microsoft Edge、Brave、Opera 和 Vivaldi 等基於 Chromium 的瀏覽器的用戶在修復程序可用時應用它們。
參考資料:
Google緊急修補Chrome今年第2個零時差漏洞 ( 20 Apr. 2023 )
-https://www.ithome.com.tw/news/156486
New Google Chrome Zero-day Exploited in Wide – Emergency Update!!
( 13 Apr. 2023 )
-https://gbhackers.com/new-google-chrome-zero-day/amp/
Google Chrome Hit by Second Zero-Day Attack - Urgent Patch Update Released ( 19 Apr. 2023 )
-https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html