Google 发布 2023 年 Chrome 第八个零日补丁

谷歌发布了紧急更新，以解决 Chrome 中最近发现的一个漏洞，该漏洞一直在野外被积极利用，这是 2023 年为该浏览器发现的第八个零日漏洞。

标识为 CVE-2023-7024谷歌表示，该漏洞是 Chrome WebRTC 模块内的一个重大堆缓冲区溢出缺陷，允许远程代码执行（RCE）。

WebRTC 是一项开源计划，可通过 API 实现实时通信，并得到领先浏览器制造商的广泛支持。

CVE-2023-7024 如何威胁 Chrome 用户

Menlo Security 的首席安全架构师 Lionel Litty 解释说，利用的风险是在渲染器进程中实现 RCE 的能力。这意味着不良行为者可以在 JavaScript 沙箱之外的用户计算机上运行任意二进制代码。

然而，真正的损害取决于使用该错误作为漏洞利用链的第一步；它需要与 Chrome 本身或操作系统中的沙箱逃逸漏洞结合起来才能真正危险。

“尽管如此，由于 Chrome 的多进程架构，该代码仍然处于沙箱中，”Litty 说，“因此，仅靠这个漏洞，攻击者就无法访问用户的文件或开始部署恶意软件，并且当受影响的选项卡被打开时，他们在计算机上的立足点就会消失。”关闭。”

他指出，Chrome 的站点隔离功能通常会保护来自其他站点的数据，因此攻击者无法针对受害者的银行信息，尽管他补充说这里有一些微妙的警告。

例如，如果目标源使用同一站点，则这会将目标源暴露给恶意源：换句话说，假设的male.shared.com可以将目标源定位为victim.shared.com。

“虽然访问麦克风或摄像头需要用户同意，但访问 WebRTC 本身则不需要，”Litty 解释道。 “这个漏洞可能会被任何网站攻击，除了访问恶意页面之外不需要任何用户输入，因此从这个角度来看，威胁是重大的。”

Qualys 威胁研究部门的首席威胁情报分析师 Aubrey Perin 指出，该漏洞的影响范围超出了 Google Chrome。

“Chrome 的利用与其无处不在有关——甚至 Microsoft Edge 也使用 Chromium，”他说。 “因此，利用 Chrome 还可能以 Edge 用户为目标，并让不良行为者扩大影响范围。”

值得注意的是，使用 Chrome 的 Android 移动设备有其自身的风险状况；在某些情况下，他们将多个站点放在同一个渲染器进程中，特别是在没有大量 RAM 的设备上。

浏览器仍然是首要网络攻击目标

主要浏览器供应商最近报告了越来越多的零日漏洞——仅谷歌报道 八月以来五个.

苹果、微软和 Firefox 等公司已经披露了 一系列严重漏洞 在他们的浏览器中，包括一些零日漏洞。

Delinea 首席安全科学家兼咨询 CISO 约瑟夫·卡森 (Joseph Carson) 表示，政府支持的黑客和网络犯罪分子以流行软件为目标，不断寻找可利用的漏洞，这并不奇怪。

“由于该软件的广泛使用、多个平台、高价值目标，这通常会导致更大的攻击面，并且通常会为供应链攻击打开大门，”他说。

他指出，许多用户也需要时间来更新和修补易受攻击的系统，这些类型的漏洞。

“因此，攻击者可能会在未来几个月内瞄准这些易受攻击的系统，”卡森说。

他补充道，“由于此漏洞正在被积极利用，这可能意味着许多用户系统已经受到损害，因此能够识别已成为目标的设备并快速修补这些系统非常重要。”

卡森指出，因此，组织应该调查具有此漏洞的敏感系统，以确定任何风险或潜在的重大影响。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome