Google Chrome V8 类型混淆漏洞 (CVE-2023-3079) 安全风险通告

最新推荐文章于 2024-07-25 15:56:54 发布
最新推荐文章于 2024-07-25 15:56:54 发布
阅读量1k 收藏
点赞数
文章标签: chrome 安全 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516688&idx=1&sn=6978d8fa7462da7ef65701cf3c8b0bb0&chksm=ea94b37adde33a6cdab8577cd9bafe14b03d644313a391dec990133584467d5c4569de739db7&scene=126&sessionid=0
版权

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Google Chrome V8类型混淆漏洞

漏洞编号

QVD-2023-13035、CVE-2023-3079

公开时间

2023-06-06

影响对象数量级

十万级

奇安信评级

高危

CVSS 3.1分数

8.8

威胁类型

代码执行

利用可能性

POC状态

未发现

在野利用状态

已发现

EXP状态

未发现

技术细节状态

未公开

利用条件:攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。

01

漏洞详情

>>>>

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。

>>>>

漏洞描述

近日,奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-3079)存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

02

影响范围

>>>>

影响版本

Google Chrome for Windows < 114.0.5735.110

Google Chrome for Mac < 114.0.5735.106

Google Chrome for Linux < 114.0.5735.106

>>>>

其他受影响组件

03

处置建议

>>>>

安全更新

目前官方已发布安全更新,建议用户尽快升级至最新版本。

版本检测及升级步骤:

1.查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome

620229303ec73323d4a0678c3eb5c9a4.png

2.等待版本下载完成后,选择重新启动

3.查看当前版本

cb3f848d504299ebb3418a3665d803ce.png

04

参考资料

[1]https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html

05

时间线

2023年6月7日,奇安信 CERT发布安全风险通告。

6c2d881a45b22acdb262fa7571ae6e91.png

b27a6e79d934d6fd7836467d93de1d27.png

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

3a70f2b4e911de5bd7f251686b4b80c9.jpeg

481f2112e273013c34632826ba7cb7f6.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   dde3d65e81669c75856fb5108f257c5d.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
Google Chrome V8 类型混淆漏洞
UU2458425633的博客
04-22 149
将组件 chromium-sandbox 升级至 112.0.5615.121-1~deb11u1 及以上版本。将组件 chromium-driver 升级至 112.0.5615.121-1~deb11u1 及以上版本。将组件 chromium-common 升级至 112.0.5615.121-1~deb11u1 及以上版本。将组件 chromium-shell 升级至 112.0.5615.121-1~deb11u1 及以上版本。chromium@影响所有版本。如何判断自己是否抑郁。
【高危】Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞
murphysec的博客
01-17 972
Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中,当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。漏洞已被Google发现在野利用。
探索安全新领域:CVE-2023-3079的修复之旅
gitblog_00060的博客
06-24 276
探索安全新领域:CVE-2023-3079的修复之旅 项目地址:https://gitcode.com/mistymntncop/CVE-2023-3079 项目介绍 在网络安全的浩瀚宇宙中,每一个漏洞的发现与修复都是守护数据安全的重要一环。今天,我们要探讨的是编号为CVE-2023-3079安全漏洞的开源解决方案。该项目由一群才华横溢的安全研究者共同推动,特别鸣谢[@_clem1]、[@al...
cve-2023-3079漏洞与patch分析
Anansi的博客
08-22 759
时由于COW(写入时拷贝)的原因当在具体向arguments对象elelments写入内容时会将elements中的内容完整的拷贝到一块新的elements中并将要写入的内容写入。列表中的每一个map与handler,并且会根据当前map是否具有过渡map来进入不同分支,此处列表中的两个map都不存在过渡,所以会直接去执行。时会与前一个处理过的arguments对象相同,由于receiver与key都不同所以将会触发miss分支,并调用。函数,由于第一次触发IC所有会进入miss分支,此分支会进入。
Web安全:代码执行漏洞 测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-26 750
攻击者可以通过构造恶意输入来欺骗应用程序执行恶意代码。这种漏洞通常出现在应用程序中使用动态语言(如 PHP、Python、Ruby 等)编写的代码中,因为这些语言允许在运行时动态执行代码。攻击者可以通过构造特定的输入来欺骗应用程序执行恶意代码,例如在输入中注入恶意代码、利用应用程序中的漏洞绕过输入验证等.
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
smellycat000的专栏
05-24 365
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Google Chrome V8 类型混淆漏洞漏洞编号QVD-2024-20506,CVE-2024-5274公开时间2024-05-24影响量级千万级奇安信评级高危CVSS 3.1分数8.8威胁类型代码执行利用可能性高POC状态未公开在野利用状态已发现EXP状态未公开技术细节状态未公开危害描述:攻击者可通过诱导用户打开恶意链接来利用此漏...
【高危】Google Chrome V8 类型混淆漏洞CVE-2023-2033)
murphysec的博客
04-18 881
oogle Chrome V8Google开源的JavaScript和WebAssembly引擎,被用在Chrome和Node.js等浏览器和平台中。 该项目受影响版本存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来触发此漏洞,可能导致浏览器崩溃或执行任意代码。由于该漏洞的影响范围较广,建议用户及时更新 Google Chrome V8 版本以修复该漏洞
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
chrome 插件:content-script 部分逻辑在页面无法生效,可考虑插入 script 到页面上
最新发布
汤一飞
07-25 362
插入代码到页面具体方法, 参考该插件, 单独弄一个可独立运行的 js 文件, 打包好, content-script 里使用 chrome.extension.getURL 获取此 js 的地址, 生成 script , 指定地址, 加载。原理不清楚, 可能 content-script 运行的环境跟 script 运行的环境不同导致的吧, 从控制台里打印的语句也能看出来, 控制台也分了层级, 默认当前页面, 底下还有各种插件的控制台。
Shell
2301_80150315的博客
07-24 812
Shell是一个命令行解释器,它接收应用程序/用户命令,然后调用操作系统内核。Shell还是一个功能相当强大的编程语言,易编写,易调试,灵活性强。常用系统变量:$HOME,$PWD,$SHELL,$USER等查看系统变量的值:/root显示当前Shell中所有变量:setset | less​....1.基本语法变量名=变量值,=前后不能有空格unset 变量名readonly 变量,不能unset2.规则变量名称可以由字母、数字和下划线组成,但不能以数字开头,环境变量建议大写。
Chrome谷歌浏览器Console(控制台)显示文件名及行数
米拉
07-24 378
Chrome谷歌浏览器console(控制台)不显示编译文件名及行数?
第三十一天 chrome调试工具
out_stand_ing的博客
07-25 270
前端大佬的修炼之路 筑基期第八层辅助心法
控制欲过强的Linux小进程
chestnut_orenge的博客
07-20 1631
控制欲强?视奸?普通人那才叫视奸,您是皇帝,天下大事无一逃过您的耳目,您想看什么就看什么,臣怀疑他在朋友圈私养兵士,囤积枪甲,蓄意谋反,图谋皇位啊!哈哈哈哈开个玩笑,这篇就主要讲讲Linux进程的控制吧~
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用[.reference_title] - *1* *3* [CVE-2023-21839漏洞本地简单复现](https://blog.csdn.net/csdnmmd/article/details/129247272)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CVE-2023-0215](https://blog.csdn.net/qq_39933800/article/details/131203431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值