聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
今天谷歌发布关于多个漏洞的安全更新,其中修复了一个 Chrome 0day 漏洞 CVE-2023-6345,是今年修复的第6个 0day。
谷歌证实称目前已存在关于 CVE-2023-6345的在野利用。该漏洞已在 Stable Desktop 频道修复,已修复版本已向全球的Windows 用户 (119.0.6045.199/.200) 和 Mac 与 Linux 用户 (119.0.6045.199) 推出。
尽管谷歌在安全公告中指出,数天或数周的时间后,安全更新才会到达整个用户数据库,但实际上目前已经到位。Chrome 浏览器会自动检查新更新,不希望手动安装的用户可在下次重启时安装更新。
可能被用于间谍攻击
这个高危 0day 漏洞是因为开源的2D 图形库 Skia 中的整数溢出弱点造成的,可导致崩溃、任意代码执行等后果。其它产品如 ChromeOS、安卓和 Flutter 还将Skia 用作图形引擎。
该漏洞由谷歌威胁分析组织的两名安全研究员 Benoît Sevens 和 Clément Lecigne报送。谷歌指出,在多数用户更新Chrome 后才会公开该0day 详情,如果其它项目所依赖或尚未修复的第三方库中也存在该漏洞,则仍然不公开详情。这样做的目的是减少威胁行动者利用漏洞技术详情自制 exploit。
9月份,谷歌修复了已遭利用的两个其它 0day(CVE-2023-5217和CVE-2023-4863),是今年以来修复的第四个和第五个0day 漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得
原文链接
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~