【漏洞通告】Google Chrome Skia整數溢出漏洞(CVE-2023-2136)

一、漏洞概述

CVE ID

CVE-2023-2136

發現時間

2023-04-19

類 型

整數溢出

等 級

高危

攻擊向量

網路

所需許可權

攻擊複雜度

使用者互動

PoC/EXP

未公開

在野利用

Skia 是一個開源的2D 圖形庫,提供了在各種硬體和軟體平臺上工作的通用API,它被用作 Google Chrome 和 ChromeOS、Android、Flutter等產品的圖形引擎。

4月19日,啟明星辰VSRC監測到Google發佈安全公告,修復了Chrome中的一個整數溢出漏洞(CVE-2023-2136),目前該漏洞的細節暫未公開披露,但已發現在野利用。

該漏洞為Chrome Skia中的整數溢出漏洞,能夠破壞渲染器進程的遠端威脅者可以通過誘導使用者訪問惡意的HTML頁面來執行沙箱逃逸,成功利用該漏洞可能導致在應用程序上下文中執行任意程式碼。

二、影響範圍

Google Chrome版本:< 112.0.5615.137

三、安全措施

3.1 升級版本

目前該漏洞已經修復,鑑於該漏洞正在被積極利用,建議Chrome使用者儘快更新到以下版本:

Google Chrome(Windows)版本:>= 112.0.5615.137/138

Google Chrome(Mac)版本:>= 112.0.5615.137

下載連結:

https://www.google.cn/chrome/

注:Linux修復版本暫未發佈。

3.2 臨時措施

手動檢查更新:

可在Chrome 菜單-【幫助】-【關於 Google Chrome】檢查版本更新,並在更新完成後重新啟動。

此外,Microsoft 也發佈了針對CVE-2023-2136漏洞的Microsoft Edge瀏覽器(基於 Chromium)公告,Microsoft Edge使用者可升級到112.0.1722.54或更高版本,詳情可參考:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2136

3.3 通用建議

定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。

加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

使用企業級安全產品,提升企業的網路安全性能。

加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4 參考連結

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html

https://www.bleepingcomputer.com/news/security/google-patches-another-actively-exploited-chrome-zero-day/

相關文章

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...