站内搜索:
首页 部门概况 信息速递 制度建设 安全专栏 网络服务 党建工作 校内自采 学校首页 下载专区
当前位置: 首页 >> 安全专栏 >> 正文
关于Google Chrome Skia整数溢出漏洞(CVE-2023-6345)的安全预警
2023-12-18 10:08   审核人:

一、 基本情况

Skia 是一个开源的2D 图形库,提供了在各种硬件和软件平台上工作的通用API,它被用作 Google Chrome ChromeOSAndroidFlutter等产品的图形引擎。

二、 漏洞描述

Google发布安全公告,修复了Chrome中的一个整数溢出漏洞(CVE-2023-6345),目前该漏洞已发现在野利用。

Google Chrome版本119.0.6045.199之前在Skia中存在整数溢出漏洞,破坏渲染器进程的远程威胁者可能通过恶意文件执行沙箱逃逸,成功利用该漏洞可能导致浏览器崩溃或执行任意代码。

此外,Google Chrome中还修复了以下多个高危漏洞,成功利用这些漏洞可能导致代码执行、拒绝服务等:

CVE-2023-6346WebAudio中的Use-after-free漏洞

CVE-2023-6347Mojo中的Use-after-free漏洞

CVE-2023-6348Spellcheck中的类型混淆漏洞

CVE-2023-6350libavif 中的内存访问越界漏洞

CVE-2023-6351libavif中的Use-after-free漏洞

三、 影响范围

Google ChromeWindows)版本:< 119.0.6045.199/.200

Google ChromeMac/Linux)版本:< 119.0.6045.199

四、 修复建议

目前这些漏洞已经修复,受影响用户可升级到以下版本:

Google ChromeWindows)版本:>= 119.0.6045.199/.200

Google ChromeMac/Linux)版本:>= 119.0.6045.199

下载链接:

https://www.google.cn/chrome/

手动检查更新:

可通过Chrome 菜单-【帮助】-【关于 Google Chrome】检查版本更新,并在更新完成后重新启动。

此外,Microsoft 也针对这些漏洞发布了Microsoft Edge浏览器(基于Chromium)公告,Microsoft Edge用户可升级到119.0.2151.97Stable)、118.0.2088.122Extended Stable)或更高版本。CVE-2023-6345详情可参考:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-6345

五、 参考链接

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

https://nvd.nist.gov/vuln/detail/CVE-2023-6345

 

关闭窗口
中共中央网信办 | 河北网信办 | 关于我们 | 联系我们 | 网站地图

版权所有:唐山师范学院信息技术中心

E_mail:xxzx@tstc.edu.cn 地址:河北省唐山市路北区建设北路156号

Baidu
map