聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌证实称目前已存在关于 CVE-2023-6345的在野利用。该漏洞已在 Stable Desktop 频道修复,已修复版本已向全球的Windows 用户 (119.0.6045.199/.200) 和 Mac 与 Linux 用户 (119.0.6045.199) 推出。
尽管谷歌在安全公告中指出,数天或数周的时间后,安全更新才会到达整个用户数据库,但实际上目前已经到位。Chrome 浏览器会自动检查新更新,不希望手动安装的用户可在下次重启时安装更新。
这个高危 0day 漏洞是因为开源的2D 图形库 Skia 中的整数溢出弱点造成的,可导致崩溃、任意代码执行等后果。其它产品如 ChromeOS、安卓和 Flutter 还将Skia 用作图形引擎。
该漏洞由谷歌威胁分析组织的两名安全研究员 Benoît Sevens 和 Clément Lecigne报送。谷歌指出,在多数用户更新Chrome 后才会公开该0day 详情,如果其它项目所依赖或尚未修复的第三方库中也存在该漏洞,则仍然不公开详情。这样做的目的是减少威胁行动者利用漏洞技术详情自制 exploit。
9月份,谷歌修复了已遭利用的两个其它 0day(CVE-2023-5217和CVE-2023-4863),是今年以来修复的第四个和第五个0day 漏洞。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~