立即更新 Chrome：Google 发布针对主动利用的零日漏洞的补丁

谷歌周三推出了修复程序，以解决 Chrome 浏览器中新的被积极利用的零日漏洞。

该高严重性漏洞被追踪为CVE-2023-5217，被描述为libvpx中 VP8 压缩格式中基于堆的缓冲区溢出，libvpx是 Google 和开放媒体联盟 (AOMedia) 提供的免费软件视频编解码器库。

利用此类缓冲区溢出缺陷可能会导致程序崩溃或执行任意代码，从而影响其可用性和完整性。

谷歌威胁分析小组 (TAG) 的 Clément Lecigne 于 2023 年 9 月 25 日发现并报告了该漏洞，研究员同事 Maddie Stone 在X（前身为 Twitter）上指出，该漏洞已被商业间谍软件供应商滥用以针对高目标- 风险个人。

这家科技巨头除了承认“意识到 CVE-2023-5217 漏洞存在”之外，没有透露更多细节。

最新发现使今年已发布补丁的 Google Chrome 零日漏洞数量达到 5 个 –

• CVE-2023-2033（CVSS 分数：8.8）- V8 中的类型混淆
• CVE-2023-2136（CVSS 评分：9.6）- Skia 中的整数溢出
• CVE-2023-3079（CVSS 评分：8.8）- V8 中的类型混淆
• CVE-2023-4863（CVSS 分数：8.8）- WebP 中的堆缓冲区溢出

这一进展正值 Google 为libwebp 图像库中的关键缺陷分配了一个新的 CVE 标识符CVE-2023-5129 （最初被跟踪为CVE-2023-4863），考虑到其广泛的攻击，该缺陷已在野外受到积极利用表面。

建议用户在 Windows、macOS 和 Linux 上升级到 Chrome 版本 117.0.5938.132，以减轻潜在威胁。还建议使用基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时应用这些修复程序。