导读 现在,一些Mac、Linux和Windows上的Chrome用户可以使用一个重要的安全更新,该更新修复了一个零日漏洞,该漏洞可能使系统容易遭受数据盗窃...
现在,一些Mac、Linux和Windows上的Chrome用户可以使用一个重要的安全更新,该更新修复了一个零日漏洞,该漏洞可能使系统容易遭受数据盗窃和其他网络攻击。周二,谷歌在Chrome稳定频道更新中确认,它“意识到存在CVE-2023-6345漏洞”。该漏洞是由Google威胁分析小组(TAG)内的两名安全研究人员于11月24日发现的。
谷歌尚未发布有关CVE-2023-6345漏洞利用的更多详细信息,但这是可以预料的。正如AndroidCentral指出的那样,谷歌与许多科技公司一样,通常选择保密有关漏洞的信息,直到这些漏洞得到大部分解决,因为详细信息可能会让攻击者更容易利用未受保护的Chrome用户。目前尚不清楚该漏洞在上周被发现之前已被积极利用了多长时间。
我们所知道的是,CVE-2023-6345是一个整数溢出漏洞,会影响Chrome图形引擎中的开源2D图形库Skia。根据Chrome更新的说明,该漏洞允许至少一名攻击者“可能通过恶意文件执行沙箱逃逸”。沙箱逃逸可用于用恶意代码感染易受攻击的系统并窃取敏感的用户数据。
如果您已将Chrome浏览器设置为自动更新,则可能不需要采取任何操作。对于其他人来说,值得在GoogleChrome设置中手动更新到最新版本(Mac和Linux为119.0.6045.199,Windows为119.0.6045.199/.200),以避免系统暴露。谷歌表示,该修复程序将在“未来几天/几周内”推出,因此在撰写本文时可能无法立即向所有人提供。