该公司表示:“Google意识到 CVE-2023-6345 的漏洞存在。”
该漏洞已在稳定桌面频道中得到解决,修补版本已在全球范围内向 Windows 用户 (119.0.6045.199/.200) 以及 Mac 和 Linux 用户 (119.0.6045.199) 推出。
通报指出,安全更新可能需要数天或数周的时间才能覆盖整个用户群,但该更新今天已经可用。不想手动更新的用户可以依靠网络浏览器自动检查新更新并在下次启动后安装它们。
这种高严重性的零日漏洞源于 Skia 开源 2D 图形库中的整数溢出漏洞,带来从崩溃到执行任意代码的风险(Skia 还被其他产品用作图形引擎,例如 ChromeOS、 Android 和 Flutter)。
Google 威胁分析小组 (TAG) 的两名安全研究人员 Benoît Sevens 和 Clément Lecigne 于 11 月 24 日星期五报告了该漏洞。
Google TAG 因发现零日漏洞而闻名,这种零日漏洞经常被国家资助的黑客组织利用,用于针对记者和反对派政客等知名人士的间谍软件活动。
该公司表示,在大多数用户更新浏览器之前,对零日漏洞详细信息的访问将继续受到限制。 如果该缺陷还影响尚未修补的第三方软件,那么对错误详细信息和链接的访问限制将会延长。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果该错误存在于其他项目类似依赖的第三方库中,但尚未修复,我们也将保留限制, ”该公司表示。
此举旨在减少威胁行为者利用新发布的有关该漏洞的技术信息开发自己的 CVE-2023-6345 漏洞的可能性。
9 月份,Google修复了攻击中利用的另外两个零日漏洞(编号为 CVE-2023-5217 和 CVE-2023-4863),这是自 2023 年初以来的第四个和第五个零日漏洞。