谷歌流行的Chrome瀏覽器在電腦及手機上。
谷歌發佈了一個緊急更新,以解決其非常流行的Chrome瀏覽器中一個被嚴重利用的漏洞。
該漏洞的追蹤號為CVE-2023-2033。谷歌在4月14日發佈的更新中稱其為一個「高」嚴重性漏洞。該搜索巨頭在其公告中寫道,「谷歌意識到CVE-2023-2033的漏洞仍呈蔓延之勢(exists in the wild)」,意思是,該漏洞正遭到惡意行為者的大肆攻擊。
新的Chrome版本正在向使用Windows、Mac和Linux穩定版瀏覽器的用戶推出。整個Chrome套裝可能會在未來幾天到幾周內得到這些更新。
根據聯邦「國家漏洞數據庫」(National Vulnerability Database, NVD),該漏洞源於「谷歌Chrome瀏覽器中V8中的類型混亂問題」,這可能導致「遠程攻擊者有可能通過精心設計的HTML頁面實施堆損壞(heap corruption)」。谷歌沒有公佈有關該漏洞的更多細節。
谷歌表示,「在大多數用戶更新修復之前,可能會繼續限制對Bug細節和連結的訪問;如果該錯誤存在於其它項目同樣依賴的第三方庫中,而且尚未修復,我們也將保留限制。」
在《大紀元時報》試圖通過Chrome菜單>幫助>關於GoogleChrome來檢查新的更新時,看到這個更新是可用的。瀏覽器也會自動檢查最新的更新,並在重新啟動瀏覽器後不需要用戶輸入就能安裝,但許多用戶可能會讓瀏覽器長時間開着,不關閉,或者不更新。
建議用戶升級到Windows、Mac和Linux的Chrome瀏覽器112.0.5615.121版本,以防止任何可能的攻擊。那些使用基於Chromium的瀏覽器,如Brave、Tusk、Opera、Vivaldi、Microsoft Edge和各種「非谷歌」Chromium版本的用戶,建議在具備條件的情況下,進行更新。
來自Statista的數據顯示,全球估計有超過30億人使用谷歌Chrome瀏覽器,使其成為迄今為止最受歡迎的瀏覽器。排名第二的是蘋果的Safari,約有5.76億人用。
《福布斯》雜誌指出,4月14日的補丁解決了谷歌Chrome瀏覽器在2023年迄今為止的第一個「零日」(zero day)漏洞。該雜誌的一位技術作家指出,「谷歌今年在修補Chrome瀏覽器的漏洞方面做得很好,直到4月份才發生第一個『零日』漏洞,這很了不起;從這個角度來看,Chrome瀏覽器在2021年有15個『零日』漏洞,在2022年有9個,所以進步是明顯的。」
另外,在發現少數安全漏洞後,國土安全部(DHS)的網絡安全機構最近建議用戶和管理員更新他們的蘋果、微軟和Adobe設備和產品。
美國網絡安全暨基礎設施安全局(the Cybersecurity Infrastructure& Security Agency,CISA)在4月11日的一份聲明中說,「蘋果公司已經發佈了安全更新,以解決多個產品的漏洞,防止攻擊者利用其中一些漏洞來控制受影響的設備。」
本周,蘋果公司在發佈iOS和iPadOS16.4.1以及macOS Ventura13.3.1以修復兩個被大肆利用的安全漏洞之後,推出了針對舊款蘋果iPhone、iPad、Mac桌上型電腦和Macbook的安全更新。該更新已擴擴展到舊設備,包括那些使用iOS和iPadOS15.7.5、macOS Monterey12.6.5和macOS Big Sur11.7.6的設備,以便修補同樣的安全漏洞。
原文:Google Issues Urgent Chrome Update to Fix Actively Exploited Vulnerability刊登於英文《大紀元時報》。