>  安全资讯  > 谷歌紧急修补Chrome 零日漏洞 (CVE-2023-4863),建议用户及时更新

谷歌紧急修补Chrome 零日漏洞 (CVE-2023-4863),建议用户及时更新

2023-09-12

谷歌周一推出了更新频率外的安全补丁,以解决其Chrome网络浏览器中的一个关键安全漏洞,据称该漏洞已被利用。

该问题被跟踪为 CVE-2023-4863,被描述为以 WebP 图像格式驻留的堆缓冲区溢出情况,这可能导致任意代码执行或崩溃。

Apple 安全工程与架构 (SEAR) 和多伦多大学蒙克学院的公民实验室因在 2023 年 9 月 6 日发现并报告了该漏洞而受到赞誉。

这家科技巨头尚未透露有关漏洞利用性质的更多细节,但指出它“意识到针对 CVE-2023-4863 漏洞的利用已公开存在”。通过最新的修复程序,谷歌自今年年初以来总共解决了四个Chrome零日漏洞。

CVE-2023-2033(CVSS 分数:8.8) – V8 中的类型混淆

CVE-2023-2136(CVSS 分数:9.6) – Skia 中的整数溢出

CVE-2023-3079(CVSS 分数:8.8) – V8 中的类型混淆

同一天,Apple扩展了修复程序以修复以下设备和操作系统中的CVE-2023-41064 漏洞。

iOS 15.7.9 and iPadOS 15.7.9 -iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)和 iPod touch(第 7 代);

macOS Big Sur 11.7.10 和 macOS Monterey 12.6.9

CVE-2023-41064 与映像 I/O 组件中的缓冲区溢出问题有关,该问题可能导致在处理恶意制

作的映像时执行任意代码。根据Citizen Lab的说法,CVE-2023-41064 据说与钱包中的验证问题 CVE-2023-41061 结合使用,CVE-2023-41061是名为 BLASTPASS 的零点击 iMessage 漏洞链的一部分,用于在运行 iOS 16.6 的完全修补的 iPhone 上部署 Pegasus。

CVE-2023-41064 和 CVE-2023-4863 都与图像处理有关,而后者已被 Apple 和Citizen Lab报告,这一事实表明两者之间可能存在潜在联系。建议用户升级到适用于Windows的Chrome版本116.0.5845.187/.188,适用于macOS和Linux的Chrome版本116.0.5845.187,以减轻潜在威胁,也建议基于 Chromium 内核的浏览器用户在获得修复程序后及时更新。

声明:内容来源thehackernews,沃通翻译整理,转载目的在于传递更多资讯,如有侵权,请联系本站处理。