一、漏洞概述
CVE ID | CVE-2023-2033 | 發現時間 | 2023-04-17 |
類 型 | 類型混淆 | 等 級 | 高危 |
攻擊向量 | 網路 | 所需許可權 | 低 |
攻擊複雜度 | 低 | 使用者互動 | 是 |
PoC/EXP | 未公開 | 在野利用 | 是 |
V8是由Google 開源的一個高性能JavaScript 引擎,被廣泛應用於各種 JavaScript 執行環境,如Chrome 瀏覽器、Node.js等。
4月17日,啟明星辰VSRC監測到Google發佈安全公告,修復了Chrome中的一個類型混淆漏洞(CVE-2023-2033),目前該漏洞的細節暫未公開披露,但已發現在野利用。
該漏洞為Chrome V8 JavaScript 引擎中的類型混淆漏洞,可以通過惡意設計的 HTML 頁面觸發該漏洞,成功利用可能導致瀏覽器崩潰或執行任意程式碼。
二、影響範圍
Google Chrome Desktop(Windows/Mac/Linux)版本:< 112.0.5615.121
三、安全措施3.1 升級版本
目前該漏洞已經修復,鑑於該漏洞正在被積極利用,建議Chrome使用者儘快更新到以下版本:
Google Chrome Desktop(Windows/Mac/Linux)版本:>= 112.0.5615.121
下載連結:
https://www.google.cn/chrome/
3.2 臨時措施
手動檢查更新:
可在Chrome 菜單-【幫助】-【關於 Google Chrome】檢查版本更新,並在更新完成後重新啟動。
此外,Microsoft 也發佈了針對CVE-2023-2033漏洞的Microsoft Edge瀏覽器(基於 Chromium)公告,Microsoft Edge使用者可升級到112.0.1722.48或更高版本,詳情可參考:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2033
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/
