谷歌紧急修补Chrome 零日漏洞 (CVE-2023-4863)，建议用户及时更新

谷歌周一推出了更新频率外的安全补丁，以解决其Chrome网络浏览器中的一个关键安全漏洞，据称该漏洞已被利用。

该问题被跟踪为 CVE-2023-4863，被描述为以 WebP 图像格式驻留的堆缓冲区溢出情况，这可能导致任意代码执行或崩溃。

Apple 安全工程与架构 （SEAR） 和多伦多大学蒙克学院的公民实验室因在 2023 年 9 月 6 日发现并报告了该漏洞而受到赞誉。

这家科技巨头尚未透露有关漏洞利用性质的更多细节，但指出它“意识到针对 CVE-2023-4863 漏洞的利用已公开存在”。通过最新的修复程序，谷歌自今年年初以来总共解决了四个Chrome零日漏洞。

CVE-2023-2033（CVSS 分数：8.8） – V8 中的类型混淆

CVE-2023-2136（CVSS 分数：9.6） – Skia 中的整数溢出

CVE-2023-3079（CVSS 分数：8.8） – V8 中的类型混淆

同一天，Apple扩展了修复程序以修复以下设备和操作系统中的CVE-2023-41064 漏洞。

iOS 15.7.9 and iPadOS 15.7.9 -iPhone 6s（所有机型）、iPhone 7（所有机型）、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）和 iPod touch（第 7 代）；

macOS Big Sur 11.7.10 和 macOS Monterey 12.6.9

CVE-2023-41064 与映像 I/O 组件中的缓冲区溢出问题有关，该问题可能导致在处理恶意制

作的映像时执行任意代码。根据Citizen Lab的说法，CVE-2023-41064 据说与钱包中的验证问题 CVE-2023-41061 结合使用，CVE-2023-41061是名为 BLASTPASS 的零点击 iMessage 漏洞链的一部分，用于在运行 iOS 16.6 的完全修补的 iPhone 上部署 Pegasus。

CVE-2023-41064 和 CVE-2023-4863 都与图像处理有关，而后者已被 Apple 和Citizen Lab报告，这一事实表明两者之间可能存在潜在联系。建议用户升级到适用于Windows的Chrome版本116.0.5845.187/.188，适用于macOS和Linux的Chrome版本116.0.5845.187，以减轻潜在威胁，也建议基于 Chromium 内核的浏览器用户在获得修复程序后及时更新。

声明：内容来源thehackernews，沃通翻译整理，转载目的在于传递更多资讯，如有侵权，请联系本站处理。