谷歌周二宣布了一项安全更新，解决了 Chrome 浏览器中的 oday 漏洞。

 这个高严重性问题被追踪为 CVE-2023-6345，被描述为 Skia 中的整数溢出错误。Skia 是一个开源 2D 图形库，在 Chrome、Firefox 和其他浏览器中充当图形引擎。

 这家互联网巨头在其公告中指出，“谷歌意识到 CVE-2023-6345 的漏洞存在”，但没有提供有关所观察到的漏洞利用的具体细节。

 然而，该公司表示，该漏洞是由 Google 威胁分析小组 (TAG) 的 Benoît Sevens 和 Clément Lecigne 报告的，这表明该漏洞可能被间谍软件供应商利用。

 在过去的几个月里，Google TAG 研究人员发现了商业监控软件供应商利用的其他几个零日漏洞，包括CVE-2023-5217，Chrome 中的堆缓冲区溢出，已于 9 月底修复。

 最新的 Chrome 更新还修复了其他五个高严重性漏洞，包括 Mojo、WebAudio 和 libavif 中的三个释放后使用问题、拼写检查中的类型混淆错误以及 libavif 中的越界内存访问缺陷。

 谷歌表示，已向报告研究人员发放了 55,000 美元的奖金，其中最高奖金（31,000 美元）授予了 360 漏洞研究所的 Leecraso 和Guang Kong，原因是 Mojo 漏洞（CVE-2023-6347）。

 根据该公司的政策，对于 Google Project Zero 和 Google TAG 研究人员报告的拼写检查和 Skia 缺陷，不会发放任何错误赏金奖励。CVE-2023-6345 是继CVE-2023-5217、CVE-2023-4762、CVE-2023-4863、CVE-2023-3079、CVE-2023-2033和CVE- 2023-2136。

 谷歌在 9 月份修补了 CVE-2023-4762，当时它并不知道存在野外利用，但后来表示，在修复程序发布之前可能就存在针对该漏洞的利用。最新的 Chrome 版本现已向用户推出，适用于 macOS 和 Linux 的版本为 119.0.6045.199，适用于 Windows 的版本为 119.0.6045.199/.200。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/291556

封面来源于网络，如有侵权请联系删除