吳明宜Google緊急更新Chrome,修補被濫用的零時差漏洞CVE-2023-6345,涉及Skia繪圖庫。
Google 昨日釋出更新,緊急修補一個 Chrome 已遭濫用的零時差漏洞。
該漏洞為 CVE-2023-6345,Google 承認有針對該漏洞的惡意程式正在網路流傳。修補該漏洞的最新版 Chrome,Windows 版為 119.0.6045.199/.200, Mac 和 Linux 版為 119.0.6045.199 版本,已透過穩定桌機通道部署給了用戶。用戶只要開啟瀏覽器即會自動更新為最新版。
最新零時差漏洞是位於開原碼 2D 繪圖函式庫 Skia 的整數溢位漏洞,一旦被濫用可能引發瀏覽器當掉或任意程式碼執行。(Skia 在其他產品如 ChromeOS 、 Android 及 Flutter 也當作繪圖引擎)。
這漏洞是由 Google 威脅分析小組 (Threat Analysis Group, TAG) 研究人員 Benoît Sevens 及 Clément Lecigne 通報。
不過 Google 並未立即公佈漏洞技術細節,需等大部份用戶都升級到最新版本,以免駭客利用修補空窗期發動,並避免影響未修補的第三方軟體。
這是 Google Chrome 今年修補的第 6 個零時差漏洞。 9 月份 Google 也修補了第 4 、 5 個零時差洞,分別為 CVE-2023-5217 和 CVE-2023-4863 。