安全热点 || Chrome 0day漏洞在野利用

CVE-2023-7024

谷歌威胁分析小组TAG在2023年12月19日发现并披露该漏洞，编号为CVE-2023-7024，WebRTC框架中基于堆的缓冲区溢出错误，可被利用导致程序崩溃或任意代码执行。

谷歌确认在野利用

谷歌确认该漏洞存在在野利用，为了防止被恶意挖掘利用，谷歌未发布太多的有关安全缺陷的详细情况。鉴于WebRTC是一个开源项目，并且Mozilla Firefox和Apple Safari也支持它，目前尚不清楚该漏洞是否对基于Chrome和Chromium的浏览器有影响。

受影响版本：

Google Chrome-Windows版本：<120.0.6099.129/130

Google Chrome-Mac/Linux版本：<120.0.6099.129

2023年Chrome 0day漏洞披露情况

CVE-2023-2033（CVSS 评分：8.8）- V8中的类型混淆
CVE-2023-2136（CVSS 分数：9.6）- Skia中的整数溢出
CVE-2023-3079（CVSS 评分：8.8）- V8中的类型混淆
CVE-2023-4762（CVSS 评分：8.8）- V8中的类型混淆
CVE-2023-4863（CVSS 分数：8.8）- WebP中的堆缓冲区溢出
CVE-2023-5217（CVSS 分数：8.8）- libvpx中vp8编码中的堆缓冲区溢出
CVE-2023-6345（CVSS 分数：9.6）- Skia中的整数溢出

2023年披露的漏洞情况以远程代码执行、安全功能绕过、缓冲区操作、权限提升以及验证，逻辑缺陷成为主要漏洞类型。

修复措施

建议用户升级到Chrome版本120.0.6099.129/130（Windows 版本）和120.0.6099.129 版本（macOS和Linux）。