提醒所有运行谷歌Chrome 浏览器的人——很多人都在使用它巨大的市场份额——还有另一个被积极利用的零日漏洞危及它的安全性。考虑到有数十亿次 Chrome 安装,这就有点大了。幸运的是,谷歌推出了紧急补丁。
与往常一样,当涉及到这类事情时,谷歌对零日漏洞的具体细节并不在意。不过,隐瞒这些细节并没有什么坏处。恰恰相反,这样做是为了尽可能降低风险,因为许多 Chrome 用户已经安装了补丁。否则,披露有关安全漏洞的详细信息只会让黑客更容易利用它。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果错误存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保留限制, “谷歌解释道。
CVE-2023-3079 说明。
也就是说,我们确实知道一些细节。这个特殊缺陷 (CVE-2023-3079) 是另一个“V8 中的类型混淆”,它是 Chrome 的 JavaScript 引擎,严重性等级为“高”。
谷歌威胁分析小组的 Clément Lecigne 发现了这个漏洞,众所周知,漏洞利用“存在于野外”。因此,为什么必须将您的 Chrome 浏览器更新到最新版本。否则,你基本上就是一只坐着的鸭子。
该缺陷存在于 114.0.5735.110 之前的 Chrome 版本中。它允许“远程攻击者通过精心制作的 HTML 页面潜在地利用堆损坏。” 这是谷歌今年在 Chrome 中修复的第二个 V8 漏洞,也是第三个零日漏洞(另外两个是CVE-2023-2136和CVE-2023-2033 )。