Google Chrome WebRTC堆緩沖區溢出漏洞安全風險通告
漏洞概述
| |||
漏洞名稱 | Google Chrome WebRTC 堆緩沖區溢出漏洞 | ||
漏洞編號 | QVD-2023-48180,CVE-2023-7024 | ||
公開時間 | 2023-12-20 | 影響量級 | 千萬級 |
奇安信評級 | 高危 | CVSS 3.1分數 | 8.8 |
威脅類型 | 代碼執行、拒絕服務 | 利用可能性 | 高 |
POC狀態 | 未公開 | 在野利用狀態 | 已發現 |
EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
利用條件:需要用戶交互。 | |||
01 漏洞詳情
影響組件
Chrome是一款由Google公司開發的免費的、快速的互聯網瀏覽器軟件,目標是為使用者提供穩定、安全、高效的網絡瀏覽體驗。Google Chrome基于更強大的JavaScript V8引擎,提升瀏覽器的處理速度。支持多標簽瀏覽,每個標簽頁面都在獨立的“沙箱”內運行。WebRTC 是眾多 Web 瀏覽器(包括 Mozilla Firefox、Safari 和 Microsoft Edge)使用的關鍵組件,用于通過 JavaScript API 提供視頻流、文件共享和 VoIP 電話等實時通信 (RTC) 功能。
漏洞描述
近日,奇安信CERT監測到Google修復 Google Chrome WebRTC 堆緩沖區溢出漏洞(CVE-2023-7024),該漏洞存在在野利用,攻擊者可通過誘導用戶打開惡意鏈接來利用此漏洞,從而在應用程序上下文中執行任意代碼或導致瀏覽器崩潰。
目前,此漏洞已發現在野利用。鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護。
02 影響范圍
影響版本
Google Chrome(Windows) < 120.0.6099.129/130
Google Chrome(Mac/Linux) < 120.0.6099.129
其他受影響組件
無
03 處置建議
安全更新
目前官方已發布安全更新,受影響用戶可以更新到最新版本。
版本檢測及升級步驟:
1.查看右上角的“更多”圖標,選擇幫助 -> 關于Google Chrome
2.等待版本下載完成后,選擇重新啟動
3.查看當前版本
04 參考資料
[1]https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html
