Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。
近日,奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
| 漏洞名称 | Google Chrome V8类型混淆漏洞 | ||
| 公开时间 | 2023-04-15 | 更新时间 | 2023-04-17 |
| CVE编号 | CVE-2023-2033 | 其他编号 | QVD-2023-9244 |
| 威胁类型 | 代码执行 | 技术类型 | 类型混淆 |
| 厂商 | 产品 | Chrome | |
| 风险等级 | |||
| 奇安信CERT风险评级 | 风险等级 | ||
| 高危 | 蓝色(一般事件) | ||
| 现时威胁状态 | |||
| POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
| 未发现 | 未发现 | 已发现 | 未发现 |
| 漏洞描述 | Chrome V8 存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。 | ||
| 影响版本 | Google Chrome | ||
| 不受影响版本 | Google Chrome >= 112.0.5615.121 | ||
| 其他受影响组件 | 无 | ||
威胁评估
| 漏洞名称 | Google Chrome V8类型混淆漏洞 | |||
| CVE编号 | CVE-2023-2033 | 其他编号 | QVD-2023-9244 | |
| CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 8.8 | |
| CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
| 网络 | 低 | |||
| 用户认证(Au) | 用户交互(UI) | |||
| 无 | 需要 | |||
| 影响范围(S) | 机密性影响(C) | |||
| 不改变 | 高 | |||
| 完整性影响(I) | 可用性影响(A) | |||
| 高 | 高 | |||
| 危害描述 | Chrome V8 存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。 | |||
处置建议
目前官方已发布安全更新,建议用户尽快升级至最新版本。
版本检测及升级步骤:
1.查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome
2.等待版本下载完成后,选择重新启动
3.查看当前版本
参考资料
[1]https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。
远望智库开源情报中心 刘禹希 蒋杰峰 近日,根据各国媒体消息,美国众议院与能源和商务委员会召开了一场以“国家安全”为由对TikTok进行的听证会,在长达5个小时的听证会中,美方一直以TikTok的“信息不透明”、“收集用户隐私信息”为由对其进行攻击。在美方夸夸…