查看原文
其他

谷歌修复今年的第二个已遭利用 Chrome 0day

Bill Toulas 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


谷歌发布 Chrome 安全更新,修复了今年以来已遭利用的第二个 0day 漏洞CVE-2023-2136。

谷歌在安全公告中指出,“谷歌已发现在野的CVE-2023-2136 exploit。”本次发布的Chrome 版本是112.0.5615.137,共修复了8个漏洞。稳定版仅供 Windows 和 Mac 用户使用,Linux版本将于不久后发布。

用户可通过Chrome设置目录,选择“帮助-关于 Google Chrome”来手动修复;或者谷歌在用户下次启动浏览器时将自动安装更新,无需用户交互,之后用户重启浏览器即可完成更新流程。



无利用详情


CVE-2023-2136是位于用C++编写的开源多平台2D图形库 Skia 中的一个高危整数溢出漏洞。Skia 为 Chrome 提供了一系列 API,可用于渲染图形、文本、形状、图像和动画,它被视作Chrome 渲染管道的一个关键组件。

当操作导致值超过既定整数类型的最大值时,就会触发整数溢出漏洞,通常或导致异常的软件行为或造成其它安全后果。在Skia 的案例中,该漏洞可能导致不正确的渲染、内存损坏和可导致越权系统访问的任意代码执行后果。该漏洞是由谷歌威胁分析团队 (TAG) 的研究员Clément Lecigne在本月初发现并报告的。

和往常一样,谷歌并未披露关于 CVE-2023-2136遭活跃利用的很多详情,引发很多人对于利用方法和相关风险的推测。

上周五,谷歌紧急修复了另外一个 0day 漏洞CVE-2023-2033,它是2023年以来Chrome 中存在的第一个已遭活跃利用的漏洞。

这类漏洞一般会遭高阶威胁行动者利用,很多时候这些组织受国家支持,他们一般会攻击位于政府、媒体或其它重要组织机构中的高级别个人。因此,建议所有 Chrome 用户尽快应用这些安全更新。






代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌紧急修复2023年第一个已遭利用的 Chrome 0day

谷歌在三星Exynos 芯片集中发现18个0day漏洞

谷歌紧急修复今年已遭利用的第9个0day

谷歌紧急修复已遭利用的Chrome 0day



原文链接

https://www.bleepingcomputer.com/news/security/google-patches-another-actively-exploited-chrome-zero-day/


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存