浏览器漏洞正被利用，谷歌、火狐用户尽快进行更新

看雪学苑 看雪学苑 2023-09-13 17:59

本周一，为解决Chrome浏览器中一个被在野利用的安全漏洞，谷歌推出了紧急安全补丁。该漏洞（CVE-2023-4863）是WebP代码库（libwebp）中的堆缓冲区溢出，可能导致崩溃甚至是任意代码执行。

据谷歌公告，该漏洞由苹果安全工程与架构（SEAR）和多伦多大学公民实验室（Citizen Lab）于9月6日报告。根据NVD漏洞数据库上的描述，该漏洞可能允许远程攻击者通过特制的HTML页面执行越界内存写入。

需要注意，虽然谷歌尚未披露该漏洞在攻击中的具体细节，但它指出该漏洞正在实际场景中被滥用。因此，为减轻潜在威胁，建议谷歌用户通过Chrome菜单>帮助>关于Google Chrome检查更新，将Chrome浏览器版本升级到116.0.5845.187/.188（Windows）或116.0.5845.187（macOS和Linux）。

另外，CVE-2023-4863同样也会影响到Firefox浏览器（以及使用libwebp库的其他产品）。在Google发布其Chrome浏览器的漏洞修复程序的第二天，Mozilla也发布了安全更新，以解决Firefox浏览器和Thunderbird电子邮件客户端中的该零日漏洞。对于受影响的用户，建议将软件版本更新到最新的Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1和Thunderbird 115.2.2，以保护系统免受潜在攻击。

编辑：左右里

资讯来源：Google、Mozilla、thehackernews

转载请注明出处和本文链接

每日涨知识

跨站攻击         

通常简称为 XSS，是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面
上对其他用户造成影响的 HTML 代码，从而盗取用户资料、利用用户身份进行某种动作或者
对访问者进行病毒侵害的一种攻击方式。

﹀

﹀

﹀

球分享

球点赞

球在看

---

---

戳
“阅读原文
”
一起来充电吧！