关于谷歌新发布的Chrome浏览器安全补丁

关键要点

• 谷歌本周发布补丁，修复了Chrome浏览器中的一个新零日漏洞（CVE-2023-5217）。
• 该漏洞是由谷歌威胁分析小组的Clément Lecigne报告的，属于堆缓冲区溢出类型。
• 漏洞的利用可能导致程序崩溃或执行任意代码，影响可用性和完整性。
• 尽管有商业间谍软件厂商利用此漏洞攻击高风险个人，但谷歌尚未确认与Pegasus的关联。
• 近期谷歌发现了多个重要漏洞，显示出攻击者不断针对流行软件的趋势，强调了及时应用补丁的重要性。

谷歌在本周的安全新闻中引起了关注，周三宣布已为Chrome浏览器发布对新发现的零日漏洞的补丁。这个新零日漏洞————是今年谷歌修复的第五个被积极利用的零日漏洞，被描述为libvpx自由编解码库中vp8编码的堆缓冲区溢出。在周一，谷歌的的Clément Lecigne报告了该缺陷。

堆缓冲区溢出漏洞的利用可能导致程序崩溃，或执行任意代码，影响整体的可用性和完整性。谷歌威胁分析小组的研究人员MaddieStone在（前Twitter）上发布信息称，零日漏洞已被一商业间谍软件厂商用来针对高风险个人。

Critical Start的网络威胁研究高级经理CallieGuenther指出，尽管最近的零日漏洞被提及为商业间谍软件厂商所利用，但谷歌并没有明确表示其与Pegasus有关系。

“Pegasus以利用漏洞进行针对性攻击而闻名，但没有具体信息，无法明确将Pegasus与CVE-2023-5217联系起来。” Guenther解释道。

威胁行为者继续瞄准流行产品如Chrome

该最新零日漏洞的发布恰逢谷歌本周报告的，即，这是libwebp图像库的一个关键漏洞，现在被认为是的重复，影响图像处理，可能允许攻击者在受影响的系统上执行任意代码。Guenther解释说，该漏洞具有广泛的攻击面，并且谷歌给出的CVSS评分为10.0，NIST则将其评为高危的8.8分。

“确实有关于谷歌漏洞的活动明显增加，发现和修复了多个零日漏洞，” Guenther表示。“这一活动强调了威胁行为者不断利用流行软件的努力，以及保持警惕和及时应用补丁的重要性。”

CVE-2023-5217在某种程度上与当前的背景相似，因为它也是一个在与渲染视觉媒体相关的库中发现的堆缓冲区溢出问题——这次是视频，Tanium的终端安全研究总监MelissaBischoping解释道。

“CVE-2023-5129（4863）是在libwebp中，libwebp支持WebP图像文件格式，用于提高图像的压缩率和加载速度，” Bischoping说。“虽然谷歌的TAG将其归于一家商业监视厂商，但重要的是要记住，归属并不会影响你是否打补丁，无论是谁发现了这个漏洞，它都可能会被多种威胁行为者采纳并重用。因此，要相应地打补丁。”

Syxsense的创始人兼首席执行官Ashley Leonard补充说，CVE-2023-5129是Web