https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

Google發佈緊急更新修補Chrome瀏覽器新零日漏洞

2023 / 09 / 14
編輯部
Google發佈緊急更新修補Chrome瀏覽器新零日漏洞
Google發佈緊急安全更新,修復了一個Chrome 瀏覽器零日漏洞。Google公告表示,此漏洞編號為CVE-2023-4863,目前已知被外佈利用。漏洞描述為堆疊緩衝區溢位,存在於 WebP 圖像格式中。

當程式試圖向被分配的記憶體緩衝區寫入超過緩衝區實際設計容量的資料時,就會發生堆緩衝區溢位。在某些情況下,這個漏洞可能會讓攻擊者執行任意程式碼,這意味著攻擊者可以在受影響的系統上運行自己選擇的程式碼。

蘋果安全工程與架構(SEAR)和多倫多大學蒙克學院公民實驗室2023 年 9 月 6 日發現並報告了這一漏洞。不過,Google沒有披露該漏洞的詳細資訊,也沒有提供攻擊者如何利用該漏洞的資訊。

Google目前已它解決了 CVE-2023-4863 漏洞。強烈建議 Chrome 瀏覽器用戶將瀏覽器更新到最新版本,Mac 和 Linux 版為 116.0.5845.187,Windows版為 116.0.5845.187.188。
 
Google在 8 月份宣佈每週為固定為Chrome 瀏覽器用戶發佈安全更新。如果發現零日漏洞在野外被利用,Google將及時處理並為 Chrome 瀏覽器發佈非定期補丁。