Google Chrome V8类型混淆漏洞 (CVE-2023-2033) 安全通告

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。

近日,奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称 Google Chrome V8类型混淆漏洞
公开时间 2023-04-15 更新时间 2023-04-17
CVE编号 CVE-2023-2033 其他编号 QVD-2023-9244
威胁类型 代码执行 技术类型 类型混淆
厂商 Google 产品 Chrome
风险等级
奇安信CERT风险评级 风险等级
高危 蓝色(一般事件)
现时威胁状态
POC状态 EXP状态 在野利用状态 技术细节状态
未发现 未发现 发现 未发现
漏洞描述 Chrome V8 存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。
影响版本 Google Chrome
不受影响版本 Google Chrome >= 112.0.5615.121
其他受影响组件

威胁评估

漏洞名称 Google Chrome V8类型混淆漏洞
CVE编号 CVE-2023-2033 其他编号 QVD-2023-9244
CVSS 3.1评级 高危 CVSS 3.1分数 8.8
CVSS向量 访问途径(AV 攻击复杂度(AC
网络
用户认证(Au 用户交互(UI
需要
影响范围(S 机密性影响(C
不改变
完整性影响(I 可用性影响(A
危害描述 Chrome V8 存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。

处置建议

目前官方已发布安全更新,建议用户尽快升级至最新版本。

版本检测及升级步骤:

1.查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome

2.等待版本下载完成后,选择重新启动

3.查看当前版本

参考资料

[1]https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。

相关推荐: 解析网络社交媒体中的舆论战

远望智库开源情报中心 刘禹希 蒋杰峰 近日,根据各国媒体消息,美国众议院与能源和商务委员会召开了一场以“国家安全”为由对TikTok进行的听证会,在长达5个小时的听证会中,美方一直以TikTok的“信息不透明”、“收集用户隐私信息”为由对其进行攻击。在美方夸夸…