按 Enter 到主內容區
:::

TWCERT-電子報

:::

Google 再次緊急修補另一 Chrome 0-day 漏洞 CVE-2023-2316

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-04-25
  • 點閱次數:194
Google 再次緊急修補另一 Chrome 0-day 漏洞  CVE-2023-2316 twcertcc

Google 近日再次釋出 2023 年 4 月以來第二次 Google Chrome 瀏覽器緊急更新,以修復全新發現的 0-day 漏洞 CVE-2023-2136;所有使用 Google Chrome 與相容 Chromium 瀏覽器的使用者應立即更新。

此次緊急修補的 0-day 漏洞 CVE-2023-2136 是存於 Skia 的高危險性整數溢位漏洞,Skia 是 Google 旗下的開源跨平台 C++ 2D 繪圖程式庫,提供一系列 API 供 Google Chrome 繪製圖型、文字、形狀、影像、動畫等,是該瀏覽器算圖管線中的重要關鍵元件。

一般來說,駭侵者可以利用這類溢位錯誤來誘發受害系統發生記憶體崩潰,藉以遠端執行任意程式碼並且控制受害系統。

Google 在近日發表的相關資安通報中,並未詳細說明該 0-day 漏洞的詳細運作機制,僅表示已獲知 CVE-2023-2136 已經遭用於發動駭侵攻擊。Google 表示詳細的資訊,會等到多數 Google Chrome 使用者都已更新其瀏覽器後才會公開,以避免其他駭侵者利用技術資訊開發其他攻擊用惡意工具。

Google 新釋出的 Chrome 版本為 112.0.05615-137,除了 CVE-2023-2136 之外,也一并修復了另外 7 個漏洞;不過新推出的版本僅適用於 Windows 與 macOS 作業系統,Google 表示 Linux 版本將儘快推出。

建議所有使用 Google Chrome 與相容 Chromium 瀏覽器的使用者應立即更新,以降低遭到駭侵者利用已公開漏洞發動攻擊的風險。

回頁首