Chrome存在高危漏洞！谷歌緊急釋出安全補丁

谷歌瀏覽器的使用者請注意，為修補一個可能已遭利用的0day漏洞，谷歌緊急釋出了Chrome的安全更新。為避免遭受損失，受影響的使用者應儘快自動或手動安裝該瀏覽器的最新版本。

據瞭解，該漏洞（CVE-2023-2033）是一個存在於Chrome瀏覽器V8 JavaScript引擎中的型別混淆漏洞。

NIST的國家漏洞資料庫（NVD）上寫道：“112.0.5615.121版本之前的Google Chrome V8中的型別混淆使遠端攻擊者有可能透過特製的HTML頁面利用堆損壞進行攻擊。（Chromium安全嚴重性：高）”

型別混淆漏洞通常允許攻擊者透過讀寫緩衝區邊界外的記憶體來觸發瀏覽器崩潰，也可被惡意網頁利用從而執行任意程式碼，進而劫持使用者裝置。特別需要注意的是，谷歌在安全公告中表示此漏洞很可能已經被駭客利用。

我們目前無法得知關於此漏洞的更多詳情，直到大部分使用者安裝好最新的安全更新之前，谷歌不會對此進行過多透露。

建議谷歌瀏覽器使用者立即升級到最新版本112.0.5615.121，另外基於 Chromium 的瀏覽器（例如Microsoft Edge、Brave、Opera 和 Vivaldi）的使用者最好也在修復程式可用時立即進行更新。

更新步驟：瀏覽器右上角點開Chrome 選單>幫助>關於 Google Chrome

檢查是否已更新為最新版本112.0.5615.121。

看雪版主有話說

個人Blog：https://www.v4ler1an.com/

微信公眾號：有毒的貓

github：https://github.com/AlexsanderShaw

有毒（英文id：Ash），看雪論壇二進位制漏洞板塊版主，看雪二進位制漏洞小組組長，養生型CTF選手，主要專注二進位制安全研究，涉及Windows和Linux平臺下的協議漏洞分析和挖掘、安全裝置分析和漏洞挖掘、Fuzzing等，目前聚焦於虛擬化環境安全攻防實戰研究。

谷歌的Chrome瀏覽器目前在全球的市場份額達60%以上，遍佈各個作業系統平臺，其安全問題一直備受安全研究員和Hackers的關注。谷歌專門設立了針對Chrome瀏覽器的安全研究團隊以及設立了多項Chrome安全研究獎項，希望以此來完善Chrome瀏覽器及其附屬產品的安全屬性。但是根據實際情況來看，針對Chrome瀏覽器的惡意攻擊和非法利用，從未停止。

雖然在安全廠商和安全研究者的努力下，普通使用者的安全防護意識在逐步提高，但是針對瀏覽器的攻擊手法成功率依然很高。針對Chrome瀏覽器的各種攻擊，有的是利用Nday漏洞進行實現，說明有的使用者並沒有對Chrome瀏覽器進行及時的安全更新；有的是利用1day和0day漏洞進行攻擊，說明官方和有關安全廠商的響應速度還不夠，導致Hackers在安全補丁釋出前就已經開展了漏洞的利用和傳播，Chrome的各種在野攻擊報告可以充分說明該問題。本次爆出的CVE-2023-2033漏洞，在安全補丁釋出和大面積更新前，就被發現已經被Hackers使用。

做好針對瀏覽器攻擊的安全防護，是一個需要多角度、多渠道共同努力去解決的問題。從使用使用者和企業角度來說，要有意識地去主動提高瀏覽器的自我使用安全意識，並儘可能做到安全補丁的及時更新；從安全廠商角度來說，要主動實現第三方防護策略，在瀏覽器自身無法進行安全防護的情況下，完成抵禦瀏覽器攻擊的安全託底；從瀏覽器廠商角度來說，要進一步擴大安全問題蒐集途徑，最佳化響應流程、提升響應速度，爭取跑在Hackers前面。

編輯：左右裡

資訊來源：Google、NIST

轉載請註明出處和本文連結