• 發布單位:TWCERT/CC
• 更新日期:2023-04-25
• 點閱次數:173

Google 近日再次釋出 2023 年 4 月以來第二次 Google Chrome 瀏覽器緊急更新，以修復全新發現的 0-day 漏洞 CVE-2023-2136；所有使用 Google Chrome 與相容 Chromium 瀏覽器的使用者應立即更新。

此次緊急修補的 0-day 漏洞 CVE-2023-2136 是存於 Skia 的高危險性整數溢位漏洞，Skia 是 Google 旗下的開源跨平台 C++ 2D 繪圖程式庫，提供一系列 API 供 Google Chrome 繪製圖型、文字、形狀、影像、動畫等，是該瀏覽器算圖管線中的重要關鍵元件。

一般來說，駭侵者可以利用這類溢位錯誤來誘發受害系統發生記憶體崩潰，藉以遠端執行任意程式碼並且控制受害系統。

Google 在近日發表的相關資安通報中，並未詳細說明該 0-day 漏洞的詳細運作機制，僅表示已獲知 CVE-2023-2136 已經遭用於發動駭侵攻擊。Google 表示詳細的資訊，會等到多數 Google Chrome 使用者都已更新其瀏覽器後才會公開，以避免其他駭侵者利用技術資訊開發其他攻擊用惡意工具。

Google 新釋出的 Chrome 版本為 112.0.05615-137，除了 CVE-2023-2136 之外，也一并修復了另外 7 個漏洞；不過新推出的版本僅適用於 Windows 與 macOS 作業系統，Google 表示 Linux 版本將儘快推出。

建議所有使用 Google Chrome 與相容 Chromium 瀏覽器的使用者應立即更新，以降低遭到駭侵者利用已公開漏洞發動攻擊的風險。