谷歌将尽快发布 Chrome 更新以修复被积极利用的零日漏洞

2023 年 4 月 15 日拉维·拉克什马南零日/浏览器安全

谷歌周五发布了带外更新，以解决 Chrome 网络浏览器中一个被积极利用的漏洞，使其成为自今年年初以来第一个被解决的此类漏洞。

追踪为 CVE-2023-2033，严重的漏洞被描述为 写下混淆问题 在 V8 JavaScript 引擎中。 谷歌威胁分析小组 (TAG) 的 Clement Leysin 已于 2023 年 4 月 11 日报告了该问题。

“在 112.0.5615.121 之前，Google Chrome 中的 V8 类型混淆允许远程攻击者通过准备好的 HTML 页面利用堆损坏，” 根据 NIST 国家漏洞数据库 (NVD)。

科技巨头 我承认 表示“CVE-2023-2033 漏洞利用处于野外”，但没有分享其他技术细节或妥协指针 (IoC) 以防止威胁参与者进一步利用。

CVE-2023-2033 似乎也与 CVE-2022-1096、CVE-2022-1364、CVE-2022-3723 和 CVE-2022-4262 有相似之处——在 V8 中被积极滥用的另外四个此类缺陷将于 2022 年由 Google 修复。

谷歌去年在 Chrome 中总共关闭了 9 天零。 在 Citizen Lab 和微软披露 Apple iOS 中一个现已修补的漏洞被一家名为 QuaDream 的阴暗间谍软件供应商的客户在 2021 年针对记者、政治反对派人士和一名非政府组织工作人员的客户利用几天后，这一进展就发生了。

建议用户升级到适用于 Windows、macOS 和 Linux 的 build 112.0.5615.121 以减少潜在威胁。 还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在可用时应用修复程序。