Google緊急釋出更新　修補今年第二個Chrome零時差漏洞

編譯／鄭智懷

Google在本周稍早釋出針對Chrome零時差漏洞的補丁，以應對CVE-2023-2136的威脅。而這也是該科技巨頭在本年度第二次發現被駭客所利用的Chrome零時差漏洞。

據了解，Chrome在2023年被駭客發現並廣泛利用的零時差漏洞為CVE-2023-2033。除了公開其是在V8 JavaScript引擎的類型混淆（Type Confusion）漏洞，以及網路上已經流傳專攻該漏洞的惡意程式外，Google並未說明更多細節也。不過，該漏洞也已在上周五（14日）釋出的Chrome 112.0.5615.121更新中解決。

示意圖：123RF

至於在CVE-2023-2136方面，Google遵循既有的政策並未對安全漏洞多作說明，只提到該漏洞係由公司名下2D圖形處理函數庫Skia的整數溢位（Integer overflow）所引起的錯誤，並且由旗下資安團隊威脅分析小組（TAG）成員Clément Lecigne於今年4月12日發現與通報。不過，公司也並沒有發放獎金給Clément Lecigne，獎勵其貢獻。

網路媒體《The Hacker News》引述美國國家標準技術研究院（NIST）的國家漏洞資料庫（NVD）指出，只要是Google Chrome 112.0.5615.137 之前的版本，都會受到CVE-2023-2136的影響。透過該漏洞，駭客可以在被感染的設備遠端執行任意程式碼，並且逃出沙盒的隔離。

除了CVE-2023-2136之外，Google在本次的更新還一併釋出包含CVE-2023-2133、CVE-2023-2134、CVE-2023-2135、CVE-2023-2137等七個安全漏洞的補丁，並且補充說明已經獲知CVE-2023-2136被駭客廣泛利用的消息。

Google建議，用戶應將Windows、Mac、Linux分別更新至112.0.5615.137/138、112.0.5615.137，以及112.0.5615.165版本；使用基於Chromium 的瀏覽器如Microsoft Edge、Brave、Opera 和 Vivaldi也應同樣執行相關的更新動作。

資料來源：Google、The Hacker News

瀏覽 581 次