谷歌 Chrome 浏览器遭受了 2023 年的首次零日攻击,谷歌从今天开始推出紧急更新以解决该漏洞。
谷歌在其 Chrome Release 博客上详细说明,它知道 CVE-2023-2033 的漏洞存在于野外。据Bleeping Computer称,它可能从今年年初开始就在流传。
该漏洞由谷歌威胁分析小组 (TAG) 的 Clement Lecigne 发现并报告。该出版物指出,该组织以定位政府资助的不良行为者而闻名,这些不良行为者打算入侵谷歌以接触知名人士,如记者和竞争对手的政客,以便他们可以用间谍软件感染他们的账户和设备。
CVE-2023-2033 漏洞被认为是高危漏洞,被详细描述为“Chrome V8 JavaScript 引擎中的一个混淆漏洞”。然而,谷歌目前几乎没有分享关于这次攻击的其他细节,特别是关于 CVE-2023-2033 漏洞是如何在实际攻击中被使用的。 “零日”这个名称表明该漏洞仍然存在,尽管谷歌已经通过更新解决了它。
谷歌表示:“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。” “如果该错误存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保留限制。”
解决 CVE-2023-2033 的更新版本 112.0.5615.121 目前在稳定桌面频道中可供 Chrome 用户使用,并将在几天和几周内向所有用户推出。此更新与 Windows、Mac 和 Linux 系统兼容。 BleepingComputer 指出,它能够通过访问Chrome 菜单 > 帮助 > 关于 Google Chrome立即访问更新。该更新还将在重启后自动访问 Chrome 浏览器。
2022 年 3 月,一个名为 CVE-2022-1096 的类似零日漏洞影响了 Chrome 的 V8 JavaScript 引擎,特别是在 Mac 设备上。
2022 年 6 月影响 Windows 程序的一个名为CVE-2022-30190 Follina的重大零日漏洞被追踪到一个中国 TA413 黑客组织,目标是散居海外的西藏人以及美国和欧盟政府机构。