Google Chrome 釋出了一個安全更新,以解決黑客今年利用的第三個零日漏洞。安全公告中寫道:「Google知道CVE-2023-3079的攻擊程式已經出現。」
Google 沒有發布有關攻擊程式的詳細信息,也沒有透露它是如何被利用的,只限於公佈了漏洞的嚴重性和類型。Google 研究員 Clément Lecigne 於 2023 年 6 月 1 日發現了 CVE-2023-3079,這被評估為高嚴重性問題,是 Chrome 的 JavaScript 引擎 V8 中的類型混淆,負責在瀏覽器內執行代碼。當引擎在運行時錯誤解釋對象的類型時,就會出現類型混淆漏洞,可能導致惡意內存操作和任意代碼執行。
Google在 Chrome 中修復的第一個零日漏洞是 CVE-2023-2033,這也是 V8 JavaScript 引擎中的類型混淆漏洞。幾天後,Google 發布了緊急安全更新,以修補影響瀏覽器 2D 圖形庫 Skia 的 CVE-2023-2136 漏洞,該漏洞正在被積極利用。
除了修復新的零日漏洞外,最新的 Chrome 版本還解決了從內部審計和代碼模糊分析中發現的各種問題。Google 表示,更新將在未來幾天/幾周內推出,因此是逐步分發,不會同時到達所有人。
要手動開始 Chrome 更新程序以安裝解決積極利用的安全問題的最新版本,請轉到 Chrome 設置菜單(右上角)並選擇幫助 → 關於 Google Chrome。需要重新啟動應用程序才能完成更新。可用的安全更新也會在下一次瀏覽器啟動時自動安裝,不需要用戶干預,因此請檢查「關於」頁面,以確保您正在運行最新版本。