谷歌已经为Chrome网络浏览器推出了安全更新,以解决一个高严重性的零日漏洞,据称该漏洞已被广泛利用。
该漏洞的CVE标识符为CVE-2023-7024,被基于WebRTC框架中基于堆的缓冲区溢出错误,可被利用导致程序崩溃或任意代码执行。
谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Vlad Stolyarov 因发现和报告该漏洞而受到嘉奖。
为了防止进一步的滥用,没有发布有关安全缺陷的其他细节,谷歌承认“CVE-2023-7024 的漏洞存在于野外”。
这一发现标志着自今年年初以来Chrome中第八次被广泛利用的零日漏洞的解决
-
CVE-2023-2033(CVSS 评分:8.8)- V8 中的类型混淆
-
CVE-2023-2136(CVSS 分数:9.6)- Skia 中的整数溢出
-
CVE-2023-3079(CVSS 评分:8.8)- V8 中的类型混淆
-
CVE-2023-4762(CVSS 评分:8.8)- V8 中的类型混淆
-
CVE-2023-4863(CVSS 分数:8.8)- WebP 中的堆缓冲区溢出
-
CVE-2023-5217(CVSS 分数:8.8)- libvpx 中 vp8 编码中的堆缓冲区溢出
-
CVE-2023-6345(CVSS 分数:9.6)- Skia 中的整数溢出
根据 Qualys 统计的数据,26 年迄今为止共披露了 447,2023 个漏洞,比上一年多了 1,500 多个 CVE,其中 115 个漏洞被威胁行为者和勒索软件组织利用。
远程代码执行、安全功能绕过、缓冲区溢出、权限提升以及输入验证和解析缺陷成为主要漏洞类型。
建议用户升级到 Chrome 版本 120.0.6099.129/130(Windows 版本)和 120.0.6099.129 版本(macOS 和 Linux),以缓解潜在威胁。
还建议基于 Chromium 的浏览器(如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时应用它们。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
