谷歌证实称目前已存在关于 CVE-2023-6345的在野利用。该漏洞已在 Stable Desktop 频道修复，已修复版本已向全球的Windows 用户 (119.0.6045.199/.200) 和 Mac 与 Linux 用户 (119.0.6045.199) 推出。

尽管谷歌在安全公告中指出，数天或数周的时间后，安全更新才会到达整个用户数据库，但实际上目前已经到位。Chrome 浏览器会自动检查新更新，不希望手动安装的用户可在下次重启时安装更新。

这个高危 0day 漏洞是因为开源的2D 图形库 Skia 中的整数溢出弱点造成的，可导致崩溃、任意代码执行等后果。其它产品如 ChromeOS、安卓和 Flutter 还将Skia 用作图形引擎。

该漏洞由谷歌威胁分析组织的两名安全研究员 Benoît Sevens 和 Clément Lecigne报送。谷歌指出，在多数用户更新Chrome 后才会公开该0day 详情，如果其它项目所依赖或尚未修复的第三方库中也存在该漏洞，则仍然不公开详情。这样做的目的是减少威胁行动者利用漏洞技术详情自制 exploit。

9月份，谷歌修复了已遭利用的两个其它 0day（CVE-2023-5217和CVE-2023-4863），是今年以来修复的第四个和第五个0day 漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~