谷歌流行的Chrome浏览器在电脑及手机上。
谷歌发布了一个紧急更新,以解决其非常流行的Chrome浏览器中一个被严重利用的漏洞。
该漏洞的追踪号为CVE-2023-2033。谷歌在4月14日发布的更新中称其为一个“高”严重性漏洞。该搜索巨头在其公告中写道,“谷歌意识到CVE-2023-2033的漏洞仍呈蔓延之势(exists in the wild)”,意思是,该漏洞正遭到恶意行为者的大肆攻击。
新的Chrome版本正在向使用Windows、Mac和Linux稳定版浏览器的用户推出。整个Chrome套装可能会在未来几天到几周内得到这些更新。
根据联邦“国家漏洞数据库”(National Vulnerability Database, NVD),该漏洞源于“谷歌Chrome浏览器中V8中的类型混乱问题”,这可能导致“远程攻击者有可能通过精心设计的HTML页面实施堆损坏(heap corruption)”。谷歌没有公布有关该漏洞的更多细节。
谷歌表示,“在大多数用户更新修复之前,可能会继续限制对Bug细节和链接的访问;如果该错误存在于其它项目同样依赖的第三方库中,而且尚未修复,我们也将保留限制。”
在《大纪元时报》试图通过Chrome菜单>帮助>关于GoogleChrome来检查新的更新时,看到这个更新是可用的。浏览器也会自动检查最新的更新,并在重新启动浏览器后不需要用户输入就能安装,但许多用户可能会让浏览器长时间开着,不关闭,或者不更新。
建议用户升级到Windows、Mac和Linux的Chrome浏览器112.0.5615.121版本,以防止任何可能的攻击。那些使用基于Chromium的浏览器,如Brave、Tusk、Opera、Vivaldi、Microsoft Edge和各种“非谷歌”Chromium版本的用户,建议在具备条件的情况下,进行更新。
来自Statista的数据显示,全球估计有超过30亿人使用谷歌Chrome浏览器,使其成为迄今为止最受欢迎的浏览器。排名第二的是苹果的Safari,约有5.76亿人用。
《福布斯》杂志指出,4月14日的补丁解决了谷歌Chrome浏览器在2023年迄今为止的第一个“零日”(zero day)漏洞。该杂志的一位技术作家指出,“谷歌今年在修补Chrome浏览器的漏洞方面做得很好,直到4月份才发生第一个‘零日’漏洞,这很了不起;从这个角度来看,Chrome浏览器在2021年有15个‘零日’漏洞,在2022年有9个,所以进步是明显的。”
另外,在发现少数安全漏洞后,国土安全部(DHS)的网络安全机构最近建议用户和管理员更新他们的苹果、微软和Adobe设备和产品。
美国网络安全暨基础设施安全局(the Cybersecurity Infrastructure& Security Agency,CISA)在4月11日的一份声明中说,“苹果公司已经发布了安全更新,以解决多个产品的漏洞,防止攻击者利用其中一些漏洞来控制受影响的设备。”
本周,苹果公司在发布iOS和iPadOS16.4.1以及macOS Ventura13.3.1以修复两个被大肆利用的安全漏洞之后,推出了针对旧款苹果iPhone、iPad、Mac台式电脑和Macbook的安全更新。该更新已扩扩展到旧设备,包括那些使用iOS和iPadOS15.7.5、macOS Monterey12.6.5和macOS Big Sur11.7.6的设备,以便修补同样的安全漏洞。
原文:Google Issues Urgent Chrome Update to Fix Actively Exploited Vulnerability刊登于英文《大纪元时报》。
