Google周一(9/11)紧急更新Windows、Mac及Linux上的Chrome浏览器,以修补已遭到黑客利用的CVE-2023-4863安全漏洞,而该漏洞正是由上周同步发布漏洞消息的公民实验室(Citizen Lab)及苹果工程师所提报。
CVE-2023-4863为一位于WebP的堆积缓冲区溢位漏洞。 WebP是Google所开发的点阵图文件格式,目的是为了取代JPEG、PNG及GIF等格式,它同时支持破坏性与非破坏性数据压缩,百度宣称该格式将可用来建立更小、更丰富且传输更快的图像。
Google仅说已发现针对CVE-2023-4863的攻击程序,并未揭露漏洞细节。 而Cybersecurity Help则解释,该漏洞源自于处理WebP图像时的边界错误,黑客只要诱导受害者造访一个恶意网站,就能触发缓冲区溢位,并于受害者系统上执行任意程序。
值得注意的是,此一漏洞影响所有支持WebP图像处理的浏览器。 而除了Chrome与基于Chromium的各种浏览器(如Microsoft Edge)之外,苹果的Safari及Mozilla的Firefox也都支持WebP。
Windows版Chrome用户可更新至116.0.5845.187/.188 ,Mac及Linux版Chrome用户则可更新至116.0.5845.187来修补该漏洞,Google预计会在未来几天至几周的时间,全面部署更新版Chrome至所有系统上。
