CVE-2023-7024:Chrome 中的另一个 0day 威胁着数百万网络浏览器用户的安全
2023-12-22 11:30:43 Author: hackernews.cc(查看原文) 阅读量:8 收藏

昨天,谷歌发布了 Chrome 网络浏览器的安全更新,以解决据报道已被攻击者利用的高级零日漏洞。

该漏洞被指定为 CVE-2023-7024,被描述为 WebRTC 框架内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。

有关安全漏洞的其他详细信息目前尚未披露,以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在,并在实际攻击中被积极使用。

这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括:

  • CVE-2023-2033(CVSS 评分:8.8)- V8 中的类型混淆;
  • CVE-2023-2136(CVSS 分数:9.6)——Skia 中的整数溢出;
  • CVE-2023-3079(CVSS 评分:8.8)- V8 中的类型混淆;
  • CVE-2023-4762(CVSS 评分:8.8)- V8 中的类型混淆;
  • CVE-2023-4863(CVSS 评分:8.8)- WebP 中的缓冲区溢出;
  • CVE-2023-5217(CVSS 分数:8.8)- libvpx 中 vp8 编码中的缓冲区溢出;
  • CVE-2023-6345(CVSS 评分:9.6)是 Skia 中的整数溢出。

据专家介绍,2023 年最常见的漏洞类型是:远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。

建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新(如果有可用更新)。目前版本 120.0.6099.129 及更高版本被认为是安全的。

基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser)的用户也应该在修复程序可用后立即应用它们。


转自安全客,原文链接:https://www.anquanke.com/post/id/292099

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/48376
如有侵权请联系:admin#unsafe.sh