一、漏洞概述
V8是由Google 開源的一個高性能JavaScript 引擎,被廣泛應用于各種 JavaScript 執(zhí)行環(huán)境,如Chrome 瀏覽器、Node.js等。
4月17日,監(jiān)測到Google發(fā)布安全公告,修復了Chrome中的一個類型混淆漏洞(CVE-2023-2033),目前該漏洞的細節(jié)暫未公開披露,但已發(fā)現(xiàn)在野利用。
該漏洞為Chrome V8 JavaScript 引擎中的類型混淆漏洞,可以通過惡意設計的 HTML 頁面觸發(fā)該漏洞,成功利用可能導致瀏覽器崩潰或執(zhí)行任意代碼。
二、影響范圍
Google Chrome Desktop(Windows/Mac/Linux)版本:< 112.0.5615.121
三、安全措施
3.1 升級版本
目前該漏洞已經(jīng)修復,鑒于該漏洞正在被積極利用,建議Chrome用戶盡快更新到以下版本:
Google Chrome Desktop(Windows/Mac/Linux)版本:>= 112.0.5615.121
3.2 臨時措施
手動檢查更新:
可在Chrome 菜單-【幫助】-【關于 Google Chrome】檢查版本更新,并在更新完成后重新啟動。
此外,Microsoft 也發(fā)布了針對CVE-2023-2033漏洞的Microsoft Edge瀏覽器(基于 Chromium)公告,Microsoft Edge用戶可升級到112.0.1722.48或更高版本。
3.3 通用建議
l 定期更新系統(tǒng)補丁,減少系統(tǒng)漏洞,提升服務器的安全性。
l 加強系統(tǒng)和網(wǎng)絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網(wǎng),減少攻擊面。
l 使用企業(yè)級安全產(chǎn)品,提升企業(yè)的網(wǎng)絡安全性能。
l 加強系統(tǒng)用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
l 啟用強密碼策略并設置為定期修改。