Google 於近日針對 Chrome 瀏覽器中的一個 0-day 漏洞 CVE-2023-6345 發表緊急更新，廣大 Google Chrome 使用者均應立即更新瀏覽器。這是 Google Chrome 今年第六個被發現的 0-day 漏洞。

這個 0-day 漏洞 CVE-2023-6345 存於 Skia 開源 2D 繪圖程式庫中，屬於整數溢位錯誤；駭侵者可利用此漏洞來誘發系統崩潰，進而執行任意程式碼。該漏洞所在的 Skia 繪圖引擎程式庫，同樣也使用於多種軟體如 ChromeOS、Android 與 Flutter 中。

該漏洞是由 Google Threat Analysis Group (Google TAG) 旗下的資安專家所發現；Google TAG 長期以來就擅於發現各種 0-day 漏洞；而該單位發現的 0-day 漏洞，經常會遭到駭侵團體用於攻擊各種重要人士。

Google 也在相關資安通報中指出，該公司已接獲 CVE-2023-6345 已遭駭侵者廣泛用於攻擊活動的情資。這個漏洞的 CVSS 危險程度評分為 8.8 分（滿分為 10 分），危險程度評級為「高」(High)。

這個漏洞對所有平台的 Google Chrome 都造成影響，包括 Windows、macOS 和 Linux 平台；Google 也已在 Stable Desktop channel 中推出更新，使用應立即在 Chrome 中選取更新功能，將其 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。

建議 Chrome 使用者應立即將 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。

• 參考連結

Stable Channel Update for Desktop

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

Google Chrome emergency update fixes 6th zero-day exploited in 2023

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/