Google发布紧急更新修复Chrome浏览器高危漏洞

Google日前发布一个紧急安全更新以修复一个新出现的Chrome浏览器零日安全漏洞，漏洞编号为CVE-2023-4863。

2023年09月06日，苹果安全工程与架构(SEAR)和多伦多大学蒙克学院公民实验室发现并向搜索巨头报告这一漏洞。

2023年09月12日，安全厂商监测到 Google 发布紧急安全更新，修复了 Chrome WebP 中的一个堆缓冲区溢出漏洞。

据悉，CVE-2023-4863 属于WebP堆缓冲区溢出(heap buffer overflow)漏洞，成功利用可导致崩溃或任意代码执行。

_{图源 chromereleases.googleblog}

谷歌安全公告称：当程序试图向分配的内存缓冲区写入超过缓冲区实际设计容量的数据时，就会发生堆缓冲区溢出。

在某些情况下，这个漏洞可能会让攻击者执行任意代码，这意味着他们可以在受影响的系统上运行自己选择的代码。

Google 在安全公告中称该漏洞正被利用，但没有披露该漏洞的详细信息，也没有提供攻击者如何利用该漏洞的信息。

一、CVE-2023-4863 影响范围

Google Chrome（Windows）版本 < 116.0.5845.187/.188

Google Chrome（Mac/Linux）版本 < 116.0.5845.187

二、CVE-2023-4863 防范措施

1、升级Google Chrome（Windows）版本 >=116.0.5845.187/.188

2、升级Google Chrome（Mac/Linux）版本 >=116.0.5845.187

3、Chrome 浏览器菜单 -【帮助】-【关于 Google Chrome】检查版本更新，更新完成后重启即可

Google 将该漏洞级别定级为严重，并向发现报告漏洞的苹果安全工程与架构和多伦多大学蒙克学院公民实验室致谢。

三、 Chrome WebP 简介

Webp 是谷歌于2010年推出的新一代图片文件格式，同时支持有损压缩与无损压缩，在压缩方面比JPEG格式更优越。

WebP 的设计目标是在减少文件大小的同时，达到和JPEG、PNG、GIF格式相同图片质量，并且有效提高传输效率。

正因其优越的性能，栋科技网站已从2020年06月21日起将文章内插图的格式由原来的JPEG、PNG升级 WebP 格式。

由于本站用图不多，所以笔者一直都是手工处理，也就是先做成JPEG、PNG格式再无损压缩为WebP格式去使用的。

四、参考材料链接

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/