今天谷歌向 Chrome 稳定版频道推出紧急安全更新，修复由苹果安全工程与架构团队和多伦多大学蒙克学院公民实验室通报的 CVE-2023-4863 漏洞。

该漏洞于 9 月 6 日通报给谷歌，谷歌经过研究后确认漏洞存在并立即着手修复，目前已经推出新版本修复该漏洞。

其中：

Chrome for Windows：116.0.5845.187 或 116.0.5845.188

Chrome for Windows 扩展稳定版：116.0.5845.188

Chrome for Linux：116.0.5845.187

Chrome for Mac：116.0.5845.187

Chrome for Mac 扩展稳定版：116.0.5845.188

漏洞概述：

位于 WebP 的缓冲区溢出漏洞，WebP 是谷歌发起的一个图片封装格式，而图片能引起缓冲区溢出，那说明大概率是 Chrome 的图片解析类组件存在漏洞。

如果是这样的话，攻击者只需要诱导用户打开特定图片 URL 即可，或者采用广泛撒网模式，通过广告联盟投放带有恶意代码的 WebP 图片来攻击目标用户。

根据谷歌说明，此漏洞已经在野外遭到黑客的利用，因此强烈推荐 Chrome 用户立即升级最新版。

值得注意的是此漏洞也影响安卓版本，不过目前带有此紧急安全更新的修复版本仅推送至早期稳定版 (Early Stable)，此通道仅面向少部分用户，所以多数安卓用户目前还无法更新至已经修复的新版本。