_01_2023.10.02_Google_修復第_5_個遭用於攻擊的_Chrome_0-day_漏洞

Google 日前推出 Google Chrome 瀏覽器的新版本 117.0.5938.132,修復一個已證實遭到駭侵者用於攻擊的 0-day 漏洞 CVE-2023-5217;Google Chrome 與各相容 Chromium 的瀏覽器使用者應盡速更新至最新版本。

這個 CVE-2023-5217 的漏洞,存於 Google Chrome 瀏覽器內建的開源 libvpx 視訊解碼程式庫中的 VP8 編碼單元,屬於 heap 暫存器溢位錯誤;駭侵者將可利用此漏洞來造成 App 執行崩潰,亦能藉以執行任意程式碼。

CVE-2023-5217 這個漏洞的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高|(high)。

Google 也在日前發表的資安通報中指出,該公司已獲悉 CVE-2023-5127 已遭駭侵者用於攻擊的情資;Google 表示,在大多數使用者都已經更新到新版 Google Chrome 瀏覽器,且第三方程式庫已經更新該漏洞之前,Google 不會公布任何關於此漏洞的細節資訊。

Google 也自即日起逐步釋出新版 Google Chrome 瀏覽器以修復此漏洞;新版本的編號為 117.0.5938.132,使用者可望在近日在 Google Chrome 瀏覽器中收到更新通知;但其他以開源的 Chromium 製作的 Chrome 相容瀏覽器,可能要稍後才能陸續更新。

  • CVE 編號:CVE-2023-5217
  • 影響產品:Google Chrome 版本 117.0.5938.132 之前版本,包括 Windows、Mac、Linux 等。
  • 解決方案:更新至 Google Chrome 117.0.5938.132 與後續版本。
     
  • 參考連結

Stable Channel Update for Desktop

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

CVE-2023-5217

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217

CVE-2023-5217 Detail

https://nvd.nist.gov/vuln/detail/CVE-2023-5217

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Google Chrome 資安漏洞 libvpx
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄