Mac、Linux和Windows上的一些Chrome用户现在可以使用一个重要的安全更新,该更新修补了一个零日漏洞,该漏洞可能使系统容易受到数据盗窃和其他网络攻击。周二,谷歌在Chrome稳定频道更新中证实,它“意识到CVE-2023-6345漏洞存在于野外”。谷歌威胁分析小组(TAG)的两名安全研究人员于11月24日发现了该漏洞。
谷歌还没有发布关于CVE-2023-6345漏洞的更多细节,但这是意料之中的。正如Android Central所指出的那样,与许多科技公司一样,谷歌经常选择将有关漏洞的信息保密,直到它们得到很大程度的解决,因为详细的信息可能会让攻击者更容易利用未受保护的Chrome用户。目前还不清楚这个漏洞在上周被发现之前被积极利用了多久。
CVE-2023-6345漏洞可能允许黑客远程访问个人数据并部署恶意代码。
我们所知道的是,CVE-2023-6345是一个整数溢出漏洞,会影响Chrome图形引擎中的开源2D图形库Skia。根据Chrome更新的说明,该漏洞允许至少一个攻击者“通过恶意文件执行沙盒逃逸”。沙箱逃码可以利用恶意代码感染易受攻击的系统并窃取敏感的用户数据。
如果您已经将Chrome浏览器设置为自动更新,那么您可能不需要采取任何行动。对于其他人来说,值得手动更新到最新版本(Mac和Linux的119.0.6045.199和119.0.6045.199/)。在Google Chrome设置中设置200 (Windows),以避免您的系统暴露。谷歌表示,修复程序将在“未来几天或几周内”推出,因此在撰写本文时,可能不会立即对所有人开放。
