Google緊急釋出更新 修補今年第二個Chrome零時差漏洞
編譯/鄭智懷
Google在本周稍早釋出針對Chrome零時差漏洞的補丁,以應對CVE-2023-2136的威脅。而這也是該科技巨頭在本年度第二次發現被駭客所利用的Chrome零時差漏洞。
據了解,Chrome在2023年被駭客發現並廣泛利用的零時差漏洞為CVE-2023-2033。除了公開其是在V8 JavaScript引擎的類型混淆(Type Confusion)漏洞,以及網路上已經流傳專攻該漏洞的惡意程式外,Google並未說明更多細節也。不過,該漏洞也已在上周五(14日)釋出的Chrome 112.0.5615.121更新中解決。
示意圖:123RF
至於在CVE-2023-2136方面,Google遵循既有的政策並未對安全漏洞多作說明,只提到該漏洞係由公司名下2D圖形處理函數庫Skia的整數溢位(Integer overflow)所引起的錯誤,並且由旗下資安團隊威脅分析小組(TAG)成員Clément Lecigne於今年4月12日發現與通報。不過,公司也並沒有發放獎金給Clément Lecigne,獎勵其貢獻。
網路媒體《The Hacker News》引述美國國家標準技術研究院(NIST)的國家漏洞資料庫(NVD)指出,只要是Google Chrome 112.0.5615.137 之前的版本,都會受到CVE-2023-2136的影響。透過該漏洞,駭客可以在被感染的設備遠端執行任意程式碼,並且逃出沙盒的隔離。
除了CVE-2023-2136之外,Google在本次的更新還一併釋出包含CVE-2023-2133、CVE-2023-2134、CVE-2023-2135、CVE-2023-2137等七個安全漏洞的補丁,並且補充說明已經獲知CVE-2023-2136被駭客廣泛利用的消息。
Google建議,用戶應將Windows、Mac、Linux分別更新至112.0.5615.137/138、112.0.5615.137,以及112.0.5615.165版本;使用基於Chromium 的瀏覽器如Microsoft Edge、Brave、Opera 和 Vivaldi也應同樣執行相關的更新動作。
資料來源:Google、The Hacker News
瀏覽 706 次