谷歌发布安全公告指出，“谷歌发现CVE-2023-5217的一个利用已在野出现。”该漏洞已在Google Chrome 117.0.5938.132中修复，并为全球 Stable Desktop 渠道中的Windows、Mac 和 Linux 用户推出。

虽然安全公告指出，将花费数天或数周的时间才能将已打补丁版本推给所有用户，但实际上该更新已立即可用。Chrome 将在下一次启动时自动检查新更新是否存在并自动安装。

这个高危0day 是由开源 libvpx 视频codec 库中的VP8 编码中的堆缓冲区溢出漏洞引发的，该漏洞可导致应用崩溃、任意代码执行等后果。

该漏洞是由谷歌威胁分析团队 (TAG) 安全研究员 Clément Lecigne 在9月25日发现并报送的。TAG 团队素以发现受政府支持的威胁行动者和黑客组织利用0day 攻击记者和反对党派而为人所知。

谷歌 TAG 团队的研究员 Maddie Stone 表示该漏洞用于安装监控软件。

谷歌TAG 还与公民实验室在上周五发现了苹果产品中的三个0day 漏洞被用于安装 Cytrox 的 Predator 监控软件。

尽管TAG 表示CVE-2023-5217 已遭在野利用，但并未披露更多详情，以便为用户争取更多修复时间，缓解威胁行动者创建自己的 exploit 并在真实场景中部署。

两周前，谷歌还修复了另外一个已遭利用的0day (CVE-2023-4863)。Chrome 后来将该漏洞分配了另外一个编号CVE-2023-5129，且评级为满分漏洞，将其视作 libwebp 中的一个严重漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~