谷歌周五发布了带外更新,以解决其 Chrome 网络浏览器中一个被积极利用的零日漏洞,使其成为自今年年初以来第一个被解决的此类漏洞。
跟踪为CVE-2023-2033,高严重性漏洞已被描述为V8 JavaScript 引擎中的类型混淆问题。谷歌威胁分析小组 (TAG) 的 Clement Lecigne 已于 2023 年 4 月 11 日报告了该问题。
“112.0.5615.121 之前的 Google Chrome 中的 V8 类型混淆允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏,”根据NIST 的国家漏洞数据库 (NVD)。
这家科技巨头承认“CVE-2023-2033 的漏洞存在于野外”,但没有分享其他技术细节或妥协指标 (IoC) 以防止威胁参与者进一步利用。
CVE-2023-2033 似乎也与CVE-2022-1096、CVE-2022-1364、CVE-2022-3723和CVE-2022-4262有相似之处——谷歌修复了 V8 中另外四个被滥用的类型混淆缺陷2022年。
谷歌去年在 Chrome 中关闭了 9 个零日漏洞。几天前,Citizen Lab 和微软披露了一个名为 QuaDream 的神秘间谍软件供应商的客户在 2021 年针对记者、政治反对派人士和一名非政府组织工作人员利用 Apple iOS 中现已修补的漏洞。
建议用户升级到适用于 Windows、macOS 和 Linux 的版本 112.0.5615.121 以减轻潜在威胁。还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复程序可用时应用它们。