不過目前帶有此緊急安全更新的修複版本僅推送至早期穩定版 (Early Stable),而圖片能引起緩衝區溢出,
其中:
Chrome for Windows:116.0.5845.187 或 116.0.5845.188
Chrome for Windows 擴展穩定版:116.0.5845.188
Chrome for Linux:116.0.5845.187
Chrome for Mac:116.0.5845.187
Chrome for Mac 擴展穩定版:116.0.5845.188
漏洞概述:
位於 WebP 的緩衝區溢出漏洞,攻擊者隻需要誘導用戶打開特定圖片 URL 即可,此漏洞已經在野外遭到黑客的利用,穀歌經過研究後確認漏洞存在並立即著手修複,
根據穀歌說明,
今天穀歌向 Chrome 穩定版頻道推出緊急安全更新,
該漏洞於 9 月 6 日通報給穀歌,
如果是這樣的話,因此強烈推薦 Chrome 用戶立即升級最新版。
目前已經推出新版本修複該漏洞。或者采用廣泛撒網模式,WebP 是穀歌發起的一個圖片封裝格式,所以多數安卓用戶目前還無法更新至已經修複的新版本。修複由蘋果安全工程與架構團隊和多倫多大學蒙克學院公民實驗室通報的 CVE-2023-4863 漏洞。通過廣告聯盟投放帶有惡意代碼的 WebP 圖片來攻擊目標用戶。此通道僅麵向少部分用戶,值得注意的是此漏洞也影響安卓版本,那說明大概率是 Chrome 的圖片解析類組件存在漏洞。
