临近年末Google Chrome发布了 v120.0.6099.129 和 v120.0.6099.130 版,这次更新修复一枚已经在野外遭到黑客利用的安全漏洞,这也是 Chrome 在 2023 年的第八个零日漏洞。据发现该漏洞的谷歌威胁情报小组研究人员 Clément Lecigne 和 Vlad Stolyarov 透露,此次漏洞已经被黑客利用。
利用这些漏洞的一般是由国家资助的黑客集团,也就是主要目的是政治目的和间谍行为,例如利用漏洞在目标用户的设备上安装间谍软件。
由于目的特殊,因此此类漏洞一般不会被广泛利用,也就是对大多数普通用户来说威胁很小,直到漏洞被公布后才有其他黑客陆续开始利用起来。
此次发现的漏洞编号为 CVE-2023-7024,漏洞描述为 WebRTC 缓冲区溢出漏洞,具体漏洞细节暂时还不清楚,谷歌只是在更新日志页面提到漏洞已经被利用。
目前谷歌已经将 120.0.6099.129 版推送给 Mac 和 Linux 用户,将 120.0.6099.130 版推送给 Windows 用户,建议所有使用 Chrome 浏览器的用户都立即升级到最新版。
其他 Chromium 浏览器例如 Vivaldi、Brave、Opera、Microsoft Edge 等浏览器应该会在最近几天发布新版本进行修复,建议使用这些浏览器的用户关注。