昨天，谷歌发布了 Chrome 网络浏览器的安全更新，以解决据报道已被攻击者利用的高级零日漏洞。

该漏洞被指定为 CVE-2023-7024，被描述为 WebRTC 框架内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。

有关安全漏洞的其他详细信息目前尚未披露，以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在，并在实际攻击中被积极使用。

这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括：

• CVE-2023-2033（CVSS 评分：8.8）- V8 中的类型混淆；
• CVE-2023-2136（CVSS 分数：9.6）——Skia 中的整数溢出；
• CVE-2023-3079（CVSS 评分：8.8）- V8 中的类型混淆；
• CVE-2023-4762（CVSS 评分：8.8）- V8 中的类型混淆；
• CVE-2023-4863（CVSS 评分：8.8）- WebP 中的缓冲区溢出；
• CVE-2023-5217（CVSS 分数：8.8）- libvpx 中 vp8 编码中的缓冲区溢出；
• CVE-2023-6345（CVSS 评分：9.6）是 Skia 中的整数溢出。

据专家介绍，2023 年最常见的漏洞类型是：远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。

建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新（如果有可用更新）。目前版本 120.0.6099.129 及更高版本被认为是安全的。

基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser）的用户也应该在修复程序可用后立即应用它们。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292099

封面来源于网络，如有侵权请联系删除