漏洞名称:
Google Chrome V8类型混淆漏洞(CVE-2023-2033)
组件名称:
Google Chrome
影响范围:
Google Chrome < 112.0.5615.121
漏洞类型:
远程代码执行
利用条件:
1、用户认证:否
2、前置条件:需要用户访问恶意网页
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成远程代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
Google Chrome 是由 Google 开发的一款设计简单、高效的 Web 浏览工具,特点是简洁、快速。Google Chrome 支持多标签浏览,默认情况下,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。
此外,Google Chrome 基于更强大的 JavaScript V8引擎,提升浏览器的处理速度。
漏洞简介
2023 年 4 月 17 日,深信服安全团队监测到一则 Google Chrome 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2023-2033,漏洞威胁等级:高危。
该漏洞是由于 V8在处理js代码时存在类型混淆,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码攻击,最终获取服务器最高权限。
影响范围
Google Chrome 几乎可以运行在所有计算机平台上,其由于跨平台和安全性被广泛使用,成为最流行的浏览器软件之一。Google Chrome 在中国浏览器市场占有率最高,拥有广泛的用户基础。
目前受影响的 Google Chrome 版本:
Google Chrome < 112.0.5615.121
解决方案
如何检测组件版本
在浏览器的搜索栏输入
chrome://version/
即可查看当前浏览器版本信息。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
参考链接
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
时间轴
2023/4/17
深信服监测到Google 官方发布安全通告。
2023/4/17
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Google Chrome V8类型混淆漏洞CVE-2023-2033
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论