2023年10月9日监测发现,Google浏览器存在Google Chrome libwebp远程代码执行漏洞、Google Chrome libwebp堆缓冲区溢出漏洞。
一、Google Chrome libwebp远程代码执行漏洞CVE-2023-4863
Google Chrome 是一款由 Google 公司开发的网页浏览器,该浏览 器基于其他开源软件撰写,包括 WebKit , 目标是提升稳定性、速度
和安全性,并创造出简单且有效率的使用者界面。
(二) 漏洞描述
2023年10月7日,安全团队监测到一则 Google Chrome 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2023-4863,漏洞威胁等级:高危。
该漏洞是由于libwebp库存在堆缓冲区溢出,攻击者可利用该 漏洞,构造恶意HTML页面执行缓冲区溢出攻击,最终在客户端上执行任意代码。
(三) 影响范围
目前受影响的 Google Chrome 版本:
Google Chrome < 116.0.5845.187
(四) 解决方案
如何检测组件系统版本
打开浏览器,在网址中输入 chrome://settings/后,单击左侧的“关于 Chrome ”即可查看 Chrome 版本号。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最
新版本。链接如下:https://www.google.com/chrome/。
二、Google Chrome libvpx堆缓冲区溢出漏洞CVE-2023-5217
漏洞分析
(一) 组件介绍
Google Chrome 是一款由 Google公司开发的网页浏览器,该浏览 器基于其他开源软件撰写,包括WebKit ,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。
(二) 漏洞描述
2023年10月7日,安全团队监测到一则 Google Chrome 组件存在 堆缓冲区溢出漏洞的信息,漏洞编号:CVE-2023-5217,漏洞威胁等级:高危。
该漏洞是由于libvpx库存在堆缓冲区溢出,攻击者可利用该漏 洞,构造恶意 HTML 页面执行远程代码执行攻击,最终在客户端上执行任意代码。
(三)影响范围
目前受影响的 Google Chrome 版本:
Google Chrome < 117.0.5938.132
(四)解决方案
如何检测组件系统版本
打开浏览器,在网址中输入 chrome://settings/后,单击左侧的“关于 Chrome ”即可查看 Chrome 版本号。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最
新版本。链接如下:https://www.google.com/chrome/
