Mac、Linux和Windows上的部分Chrome瀏覽器用戶應進行一項重要安全更新,以修補「零日」漏洞。該漏洞可能使系統易受數據盜竊等網絡攻擊的影響。
據The Verge報道,谷歌本周確認Chrome瀏覽器的問題,表示「意識到CVE-2023-6345漏洞存在」。該漏洞是由谷歌威脅分析小組(TAG)的兩名安全研究人員於11月24日發現的。
谷歌尚未公布有關CVE-2023-6345漏洞的詳細信息。谷歌和許多科技公司一樣,通常會選擇在漏洞基本解決之前對漏洞信息保密,因為詳細信息會讓攻擊者更容易利用未受保護的Chrome用戶。目前還不清楚該漏洞在上周被發現之前已經被利用了多長時間。
目前所知,CVE-2023-6345是一個影響Skia整數溢出漏洞。Skia是Chrome圖形引擎中的開源2D圖形庫。根據Chrome更新的說明,該漏洞允許至少一名攻擊者「可能通過惡意文件執行沙箱逃逸」。沙箱逃逸可被用來用惡意代碼感染易受攻擊的系統,並竊取敏感的用戶數據。
已將Chrome瀏覽器設置為自動更新的用戶,可能不需要採取任何行動。其他用戶,則建議在Chrome瀏覽器設置中手動更新到最新版本(Mac和Linux版為119.0.6045.199,Windows版為119.0.6045.199/.200),以避免風險。本報訊
