您的位置：首页 >科技 >

Google Chrome V8类型混淆漏洞 (CVE-2023-2033) 安全通告

2023-04-18 06:09:35 来源：互联网

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。

近日，奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

漏洞名称 (资料图片仅供参考)	Google Chrome V8类型混淆漏洞
公开时间	2023-04-15	更新时间	2023-04-17
CVE编号	CVE-2023-2033	其他编号	QVD-2023-9244
威胁类型	代码执行	技术类型	类型混淆
厂商	Google	产品	Chrome
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	已发现	未发现
漏洞描述	Chrome V8 存在类型混淆漏洞，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。
影响版本	Google Chrome < 112.0.5615.121
不受影响版本	Google Chrome >= 112.0.5615.121
其他受影响组件	无

威胁评估

漏洞名称	Google Chrome V8类型混淆漏洞
CVE编号	CVE-2023-2033	其他编号		QVD-2023-9244
CVSS 3.1评级	高危	CVSS 3.1分数		8.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	用户认证（Au）		用户交互（UI）
	无		需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	Chrome V8 存在类型混淆漏洞，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。

处置建议

目前官方已发布安全更新，建议用户尽快升级至最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

参考资料

[1]https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

标签：