谷歌紧急修复2023年的第六个 0day
2023-11-29 16:21:31 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

今天谷歌发布关于多个漏洞的安全更新,其中修复了一个 Chrome 0day 漏洞 CVE-2023-6345,是今年修复的第6个 0day。

谷歌证实称目前已存在关于 CVE-2023-6345的在野利用。该漏洞已在 Stable Desktop 频道修复,已修复版本已向全球的Windows 用户 (119.0.6045.199/.200) 和 Mac 与 Linux 用户 (119.0.6045.199) 推出。

尽管谷歌在安全公告中指出,数天或数周的时间后,安全更新才会到达整个用户数据库,但实际上目前已经到位。Chrome 浏览器会自动检查新更新,不希望手动安装的用户可在下次重启时安装更新。

可能被用于间谍攻击

这个高危 0day 漏洞是因为开源的2D 图形库 Skia 中的整数溢出弱点造成的,可导致崩溃、任意代码执行等后果。其它产品如 ChromeOS、安卓和 Flutter 还将Skia 用作图形引擎。

该漏洞由谷歌威胁分析组织的两名安全研究员 Benoît Sevens 和 Clément Lecigne报送。谷歌指出,在多数用户更新Chrome 后才会公开该0day 详情,如果其它项目所依赖或尚未修复的第三方库中也存在该漏洞,则仍然不公开详情。这样做的目的是减少威胁行动者利用漏洞技术详情自制 exploit。

9月份,谷歌修复了已遭利用的两个其它 0day(CVE-2023-5217和CVE-2023-4863),是今年以来修复的第四个和第五个0day 漏洞。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌紧急修复已遭活跃利用的新 0day

谷歌紧急修复已遭利用的 Chrome 0day

谷歌发布2022年在野利用0day年度回顾报告

苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得

原文链接
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518238&idx=1&sn=5c52902fa6ddaf11504289e89f7e976f&chksm=ea94b974dde330620777f9cde78349529ef28ac4f9f9a9788b4aeded1ea2c3a19e9f56f90a98&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh