吳明宜Google 於上周和昨日接連釋出 Chrome 更新版以修補 2 個已出現攻擊行動或程式碼的安全漏洞。
上周 Google 針對 Windows 、 Mac 及 Linux 平台釋出 Chrome 更新 112.0.5615.121,目的在修補 CVE-2023-2033 。後者為影響 Chrome V8 引擎的型態混淆漏洞,可讓遠端攻擊者傳送惡意 HTML 網頁連結,導致用戶端的堆積記憶體毁損,該漏洞為 CVSS 3.1 8.8 的高風險漏洞。 Google 說已流傳針對 CVE-2023-2033 的攻擊程式,呼籲用戶儘速升級到最新版本。
事隔 4 天,Google 再度針對 Windows 、 Mac 及 Linux 分別釋出 Chrome 112.0.5615.137/138 、 112.0.5615.137,以及 112.0.5615.165 版本,修補了 CVE-2023-2133 到 CVE-2023-2137 共 5 項高風險漏洞。
其中,CVE-2023-2136 已被通報出現攻擊程式,成為第 2 個零時差漏洞。 CVE-2023-2136 為存在 Chrome Skia 元件的整數溢位漏洞。 Skia 提供 Chrome 一組執行繪圖、文字、形狀、圖片及動畫 rendering 的一組 API 。攻擊者可傳送惡意網頁連結,使 Skia 發生整數溢位,結果造成不正常 rendering 、記憶體毁損和任意程式碼執行,導致非授權的系統存取。
CVE-2023-2033 和 CVE-2023-2036 皆為 Google 威脅分析小組研究員 Clément Lecigne 發現並通報。
本周最新版 Chrome 更新另外修補 4 個漏洞,包括 CVE-2023-2133 和 CVE-2023-2134,皆為 Services Worker API 的越界記憶體存取 (out-of-bounds memory access) 漏洞。 CVE-2023-2135 為 DevTools 中的使用已釋放記憶體 (use-after-free) 漏洞。上述皆為高風險。此外,CVE-2023-2137,會造成 SQLite 元件的堆積緩衝溢位,屬中度風險漏洞。
這二次 Chrome 軟體更新修補的漏洞影響所有 Chromium-based 瀏覽器,包括 Edge 、 Brave 、 Opera 和 Vivaldi 等,用戶應儘速查看,並更新到最新版本。
來源:Bleeping Computer 、 Google