本周一，为解决Chrome浏览器中一个被在野利用的安全漏洞，谷歌推出了紧急安全补丁。该漏洞（CVE-2023-4863）是WebP代码库（libwebp）中的堆缓冲区溢出，可能导致崩溃甚至是任意代码执行。

据谷歌公告，该漏洞由苹果安全工程与架构（SEAR）和多伦多大学公民实验室（Citizen Lab）于9月6日报告。根据NVD漏洞数据库上的描述，该漏洞可能允许远程攻击者通过特制的HTML页面执行越界内存写入。

需要注意，虽然谷歌尚未披露该漏洞在攻击中的具体细节，但它指出该漏洞正在实际场景中被滥用。因此，为减轻潜在威胁，建议谷歌用户通过Chrome菜单>帮助>关于Google Chrome检查更新，将Chrome浏览器版本升级到116.0.5845.187/.188（Windows）或116.0.5845.187（macOS和Linux）。

另外，CVE-2023-4863同样也会影响到Firefox浏览器（以及使用libwebp库的其他产品）。在Google发布其Chrome浏览器的漏洞修复程序的第二天，Mozilla也发布了安全更新，以解决Firefox浏览器和Thunderbird电子邮件客户端中的该零日漏洞。对于受影响的用户，建议将软件版本更新到最新的Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1和Thunderbird 115.2.2，以保护系统免受潜在攻击。

编辑：左右里

资讯来源：Google、Mozilla、thehackernews

转载请注明出处和本文链接