本週一,為解決Chrome瀏覽器中一個被在野利用的安全漏洞,谷歌推出了緊急安全補丁。該漏洞(CVE-2023-4863)是WebP程式碼庫(libwebp)中的堆緩衝區溢位,可能導致崩潰甚至是任意程式碼執行。
據谷歌公告,該漏洞由蘋果安全工程與架構(SEAR)和多倫多大學公民實驗室(Citizen Lab)於9月6日報告。根據NVD漏洞資料庫上的描述,該漏洞可能允許遠端攻擊者透過特製的HTML頁面執行越界記憶體寫入。
需要注意,雖然谷歌尚未披露該漏洞在攻擊中的具體細節,但它指出該漏洞正在實際場景中被濫用。因此,為減輕潛在威脅,建議谷歌使用者透過Chrome選單>幫助>關於Google Chrome檢查更新,將Chrome瀏覽器版本升級到116.0.5845.187/.188(Windows)或116.0.5845.187(macOS和Linux)。
另外,CVE-2023-4863同樣也會影響到Firefox瀏覽器(以及使用libwebp庫的其他產品)。在Google釋出其Chrome瀏覽器的漏洞修復程式的第二天,Mozilla也釋出了安全更新,以解決Firefox瀏覽器和Thunderbird電子郵件客戶端中的該零日漏洞。對於受影響的使用者,建議將軟體版本更新到最新的Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1和Thunderbird 115.2.2,以保護系統免受潛在攻擊。
編輯:左右裡
資訊來源:Google、Mozilla、thehackernews
轉載請註明出處和本文連結