谷歌发布Chrome高危漏洞修复更新

关键要点

谷歌在12月20日发布了一个年度总结，包括其为高严重性的Chrome漏洞提供的稳定频道更新。该漏洞CVE20237024被谷歌描述为在现实中被积极利用的。它被定义为WebRTC中的堆缓冲区溢出，这是谷歌在2023年修复的第八个Chrome零日漏洞。

研究人员Clment Lecigne和Vlad Stolyarov来自谷歌的威胁分析组TAG，于12月19日报告了该漏洞，正好是在修复发布的前一天。

根据谷歌发布的通告，稳定频道已经更新，对于桌面系统而言， Mac和Linux机器为12006099129，Windows机器则为12006099129/130。

根据谷歌开源Google Open Source的介绍，稳定频道经过Chrome测试团队的全面测试与验证，因而对避免崩溃及其他问题是“最佳选择”。它通常每两到三周进行一次小更新，每六周则进行一次重大更新。

由于谷歌Chrome的广泛使用、多平台支持及高价值目标，这类漏洞通常会导致更大的攻击面，Delinea的首席安全科学家兼顾问CISO Joseph Carson表示。他指出，由于许多用户需要时间来更新和修复易受攻击的系统，攻击者将可能持续关注这些脆弱系统数月之久。

Carson提到：“好消息是，谷歌的TAG团队快速发现了这个漏洞，并迅速推出了修复方案。由于这个漏洞正被积极利用，这很可能意味着许多用户的系统已经受到攻击，因此识别并快速修补受到目标攻击的设备是非常重要的。”

Qualys威胁研究部的首席威胁情报分析师Aubrey Perin补充道，Chrome的漏洞利用与其普及性密切相关：甚至微软Edge也使用Chromium内核。

Perin表示：“因此，利用Chrome的漏洞也可能会攻击Edge用户，让恶意行为者能够获得更广泛的影响力。”

谷歌并未分享关于该漏洞的技术信息，也没有提供其观察到的任何攻击的详细信息。此外，谷歌还修复了今年被广泛利用的其他零日漏洞，包括： CVE20235217 CVE20234863 CVE20236345 CVE20234762 CVE20233079 CVE20232033 CVE20232136

通过关注这些信息，用户可以更好地理解当前的安全形势，并采取必要的行动来保护自己的设备。