安全公告

当前位置: 首页 安全公告 正文

Google Chrome libwebp远程代码执行漏洞、堆缓冲区溢出漏洞

时间:2023-10-10 08:00浏览:

2023109日监测发现,Google浏览器存在Google Chrome libwebp远程代码执行漏洞、Google Chrome libwebp堆缓冲区溢出漏洞。

一、Google Chrome libwebp远程代码执行漏洞CVE-2023-4863

(一) 组件介绍

Google Chrome是一款由Google公司开发的网页浏览器,该浏览 器基于其他开源软件撰写,包括WebKit, 目标是提升稳定性、速度

和安全性,并创造出简单且有效率的使用者界面。

(二) 漏洞描述

2023107日,安全团队监测到一则Google Chrome组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2023-4863,漏洞威胁等级:高危。

该漏洞是由于libwebp库存在堆缓冲区溢出,攻击者可利用该 漏洞,构造恶意HTML页面执行缓冲区溢出攻击,最终在客户端上执行任意代码。

(三) 影响范围

目前受影响的Google Chrome版本:

Google Chrome < 116.0.5845.187

(四) 解决方案

如何检测组件系统版本

打开浏览器,在网址中输入chrome://settings/后,单击左侧的关于Chrome ”即可查看Chrome版本号。

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最

新版本。链接如下:https://www.google.com/chrome/

二、Google Chrome libvpx堆缓冲区溢出漏洞CVE-2023-5217

漏洞分析

(一) 组件介绍

Google Chrome是一款由Google公司开发的网页浏览器,该浏览 器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。

(二) 漏洞描述

2023107日,安全团队监测到一则Google Chrome组件存在 堆缓冲区溢出漏洞的信息,漏洞编号:CVE-2023-5217,漏洞威胁等级:高危。

该漏洞是由于libvpx库存在堆缓冲区溢出,攻击者可利用该漏 洞,构造恶意HTML页面执行远程代码执行攻击,最终在客户端上执行任意代码。

(三)影响范围

目前受影响的Google Chrome版本:

Google Chrome < 117.0.5938.132

(四)解决方案

如何检测组件系统版本

打开浏览器,在网址中输入chrome://settings/后,单击左侧的关于Chrome ”即可查看Chrome版本号。

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最

新版本。链接如下:https://www.google.com/chrome/

Baidu
map