近日有研究人員在Google Chrome及其相關的瀏覽器上,發現安全漏洞CVE-2023-2033,攻擊者能夠透過特製網頁,無需訪客點擊任何項目就能在目標電腦上執行任意編碼,用戶應該盡快更新所有Chromium為基礎的瀏覽器。
V8引撆的安全漏洞
安全漏洞CVE-2023-2033被發現於V8 (瀏覽器)引撆,其用途為執行JavaScript,發現者是Google的Threat Analysis Group (TAG)的研究員,他之前發現了iOS和macOS的安全漏洞。Google的方針是在大部份用戶更新瀏覽器前,都不會公開漏洞的詳細資料,但已知的是已經有人利用相關安全漏洞為非作歹。
要成功利用該漏洞,攻擊者要遊說受害者前往一個特製的惡意網頁,藉此就能在目標的電腦上執行任意編碼,一如在之前於Safari WebKit的安全漏洞一樣,整個過程同樣無需用戶點擊任何項目,即是用戶只要瀏覽該網頁,不做任何動作其電腦也會受到感染。漏洞對桌面版以Chromium為基本的瀏覽器都有效,所以除了Google Chrome以外,Microsoft Edge、Opera、Yandex、Vivaldi和Brave等等都受到有關漏洞的威脅,此外Electron為基本的應用程式也受事件影響。
盡快更新堵塞漏洞
要防範CVE-2023-2033的威脅,最佳的方法就是盡快更新以Chromium的基礎的瀏覽器,如果是Google Chrome的話:
- 更新到112.0.5615.121版本
- 安裝其他Chromium為基礎的應用程式補丁,例如Microsoft Edge 112.0.1722.48,Vivaldi和Brave同樣已經推出補丁。
- 更新瀏覽器後謹記重新啟動瀏覽器,否則更新不會生效。
- 更新Electron為基礎的應用程式
安裝可靠而又能防範新安全漏洞被利用的保安方案也同樣重要。
資料來源:Kaspersky Blog
