Google发布了一个紧急安全更新,修复了一个新出现的 Chrome 浏览器零日安全漏洞。该公司在一份安全公告中宣布:"Google意识到,CVE-2023-4863 的漏洞已被外部利用。这个问题被描述为堆缓冲区溢出,存在于 WebP 图像格式中。"
当程序试图向分配的内存缓冲区写入超过缓冲区实际设计容量的数据时,就会发生堆缓冲区溢出。在某些情况下,这个漏洞可能会让攻击者执行任意代码,这意味着他们可以在受影响的系统上运行自己选择的代码。
苹果安全工程与架构(SEAR)和多伦多大学蒙克学院公民实验室于 2023 年 9 月 6 日发现并报告了这一漏洞。不过,Google没有披露该漏洞的详细信息,也没有提供攻击者如何利用该漏洞的信息。
强烈建议 Chrome 浏览器用户将浏览器更新到最新版本,Mac 和 Linux 版为 116.0.5845.187,Windows 版为 116.0.5845.187.188。此更新非常重要,因为它解决了 CVE-2023-4863 漏洞。
新版本目前正向稳定版和扩展稳定版渠道的用户推出,可能在未来几天或几周内向所有用户推出。当我们在 Windows PC 上通过 Chrome 浏览器菜单 > 帮助 > 关于 Google Chrome 浏览器检查新更新时,该更新可供下载。
Google在 8 月份宣布将每周为稳定版 Chrome 浏览器用户发布安全更新后,最新的漏洞又出现了。该公司表示,如果发现安全漏洞在野外被积极利用,它将及时处理并为 Chrome 浏览器发布计划外补丁。