Google三天前才修补 Chrome浏览器今年第1个零时差漏洞,19日又再发布更新,修补第2个已遭到滥用的高风险安全漏洞。
Google昨日针对Windows、Mac和Linux平台分别释出Chrome 112.0.5615.137/138、112.0.5615.137,以及112.0.5615.165版本,预计会在未来几天到几周内向全球用户部署完成,以修补数项安全漏洞。 其中,CVE-2023-2136已经被发现有滥用活动,是Chrome上今年发现的第2个零时差漏洞。 它影响Chrome的开源2D绘图函式库Skia,为一整数溢位(Integer overflow)漏洞,可让之前已破坏渲染器(renderer)行程的远程攻击者传送恶意HTML网页,执行沙箱逃逸(sandbox escape),而在用户机器上执行恶意活动。
CVE-2023-2136为Google威胁分析小组研究人员Clément Lecigne通报。 本漏洞属于高风险,影响所有Chromium-based浏览器,包括Edge、Brave、Opera和Vivaldi等,用户应尽速更新到最新版本。 微软也已释出最新版本Edge到Mac及Windows机器。
最新版Chrome更新另外修补的高风险漏洞,包括CVE-2023-2133和CVE-2023-2134,皆为Services Worker API的越界内存存取漏洞。 CVE-2023-2135为DevTools中的使用已释放内存漏洞。 CVE-2023-2137则是SQLite组件的堆积缓冲溢位漏洞。
