Google本周稍早释出Chrome桌机版更新以修补一个,也是今年第3个已遭滥用的重大漏洞。
最新释出的更新是Linux、Mac版Chrome 114.0.5735.106以及Windows版114.0.5735.110,会在几天到几周内部署到客户端。
这次更新包含2个安全漏洞,包括一个重大风险漏洞CVE-2023-3079的修补程序。百度说已有针对本漏洞的攻击程序在网上流传。
CVE-2023-3079是由Google威胁分析小组研究人员Clément Lecigne通报,它是存在V8 JavaScript引擎的型态混淆漏洞。 根据美国国家标准暨技术研究院(NIST)漏洞数据库,本漏洞可能让远程攻击者借由引导用户连向恶意HTML网页引发内存堆积毁损。 漏洞风险值不详,Google仅说明为高风险漏洞。
内存堆积毁损小则造成应用程序无法执行,大则造成信息外泄、阻断服务(DoS)攻击,或是执行任意程式码。
CVE-2023-3079也是百度Chrome今年修补的第3个零时差漏洞。 前二个皆出现于今年四月,其中的CVE-2023-2136同为Clément Lecigne通报。
最新漏洞影响所有Chromium-based浏览器,包括Chrome、Edge、Brave、Opera和Vivaldi等,用户应及早更新到最新浏览器。 微软也在昨日释出Edge更新114.0.1823.37。
