谷歌紧急修复今年第8个已遭利用的 Chrome 0day
编译:代码卫士
谷歌紧急修复今年年初以来已遭利用的第8个在野 0day 漏洞。谷歌发布安全公告指出,“谷歌注意到 CVE-2023-7024的在野利用。”
谷歌在 Stable Desktop 渠道的用户修复了该 0day 漏洞,在收到漏洞报告一天后向全球的 Windows 用户 (120.0.6099.129/130) 和 Mac 与 Linux 用户 (120.0.6099.129) 发布已修复版本。
该漏洞由谷歌威胁分析团队 (TAG) 的安全研究员 Clément Lecigne 和 Vlad Stolyarov 发现并报送。谷歌 TAG 团队经常发现由政府赞助的威胁行动者利用的 0day 漏洞。
尽管谷歌指出还需数天或数周的时间安全更新才会推送到所有用户,不过本文作者查看后发现安全更新已提供。不想手动更新的用户可在Chrome浏览器检查新的更新并在下次启动时自动安装。
该 0day 漏洞是因为很多其它浏览器如火狐、Safari、Edge 等都在使用的开源 WebRTC 框架中的一个堆缓冲溢出弱点造成的。该框架通过 JavaScript APIs 提供实时通信 (RTC) 能力(如视频流、文件共享和 VoIP等)。
虽然谷歌已经了解到该0day漏洞遭在野利用,但尚未分享任何详情。谷歌表示,在大部分用户应用修复方案之前,不会发布漏洞详情和链接。另外,如果其它项目所依赖的第三方库中也存在该漏洞但尚未修复,则将继续延迟发布。这样做的目的是防止威胁行动者利用新发布的技术详情开发出自己的 exploit。
今年以来谷歌还修复了其它7个0day漏洞,包括CVE-2023-6345、CVE-2023-5217、CVE-2023-4863、CVE-2023-3079、CVE-2023-4762、CVE-2023-2136和CVE-2023-2033。其中某些漏洞如 CVE-2023-4762在谷歌发布补丁的几周后就被用于部署监控软件。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。