谷歌周三为其Chrome网络浏览器推出了安全更新,以修复在野外利用的关键漏洞。
Смотритетакже: 首席信息安全官度过经济低迷的 10 个勒紧裤腰带的技巧
“谷歌意识到 CVE-2023-7024 的漏洞存在于野外,”Chrome 的安全公告说。
零日漏洞是开源 WebRTC 框架中基于堆的缓冲区溢出 bug。
WebRTC 是一个关键组件,它允许不同浏览器和设备之间的实时通信和数据交换。它专注于音频和视频流量,允许开发人员构建语音和视频通信解决方案。WebRTC 为软件开发人员提供了用 JavaScript 编写的应用程序编程接口。
谷歌威胁分析小组的克莱门特·莱西涅和弗拉德·斯托利亚罗夫发现并报告了该漏洞。
这标志着今年的第八个Chrome零日。Lecigne 在 9 月份报告了另一个基于堆的缓冲区溢出零日漏洞,该漏洞已修复,但当时“正在被商业监控供应商使用”。
谷歌表示,最新零日漏洞的细节很少,因为“在大多数用户更新修复程序之前,对错误细节和链接的访问可能会受到限制”。谷歌正试图通过不披露完整的技术信息来减少威胁行为者开发新漏洞的可能性。网络安全公司 Qualys 的数据显示,在 2023 年发现的高风险安全漏洞中,有 25% 立即成为利用目标,“漏洞利用在漏洞本身公开披露的同一天发布”。
