【高危】Google Chrome V8 类型混淆漏洞(CVE-2023-2033)
漏洞描述
Google Chrome V8是Google开源的JavaScript和WebAssembly引擎,被用在Chrome和Node.js等浏览器和平台中。
该项目受影响版本存在类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来触发此漏洞,可能导致浏览器崩溃或执行任意代码。由于该漏洞的影响范围较广,建议用户及时更新 Google Chrome V8 版本以修复该漏洞。
| 漏洞名称 | Google Chrome V8 类型混淆漏洞 |
|---|---|
| 漏洞类型 | 使用不兼容类型访问资源(类型混淆) |
| 发现时间 | 2023/4/17 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-priv-dhgz |
| CVE编号 | CVE-2023-25157 |
| CNVD编号 | - |
影响范围
Google Chrome@(-∞, 112.0.5615.121)
chromium-common@(-∞, 112.0.5615.121-1~deb11u1)
chromium-l10n@(-∞, 112.0.5615.121-1~deb11u1)
chromium@(-∞, 112.0.5615.121-1~deb11u1)
chromium-driver@(-∞, 112.0.5615.121-1~deb11u1)
chromium-sandbox@(-∞, 112.0.5615.121-1~deb11u1)
chromium-shell@(-∞, 112.0.5615.121-1~deb11u1)
chromium@影响所有版本
chromium@(-∞, 112.0.5615.121-1)
Edge@(-∞, 112.0.1722.48)
修复方案
将组件 Google Chrome 升级至 112.0.5615.121 及以上版本
将组件 chromium-common 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 chromium-driver 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 Edge 升级至 112.0.1722.48 及以上版本
将组件 chromium-l10n 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 chromium 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 chromium-sandbox 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 chromium-shell 升级至 112.0.5615.121-1~deb11u1 及以上版本
将组件 chromium 升级至 112.0.5615.121-1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-priv-dhgz
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2033
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj
【高危】Google Chrome V8 类型混淆漏洞(CVE-2023-2033)相关推荐
- 类型混淆漏洞实例浅析
类型混淆漏洞一般是将数据类型A当做数据类型B来解析引用,这就可能导致非法访问数据从而执行任意代码. 本文通过IE类型混淆漏洞实例和Word类型混淆漏洞实例进行分析,来学习理解类型混淆漏洞原理. 实例一 ...
- Google Chrome 背后的天才:不在美国工作的Google员工
导读:本文为<金融时报>网站发表的一篇人物特写,文章的主角是 Google Chrome V8引擎的开发者拉斯巴克(Lars Bak).他是一个编程天才,却远离计算机世界的核心,在丹麦为G ...
- Google Chrome 背后的天才
导读:本文为<金融时报>网站发表的一篇人物特写,文章的主角是 Google Chrome V8引擎的开发者拉斯巴克(Lars Bak).他是一个编程天才,却远离计算机世界的核心,在丹麦为G ...
- Google Chrome 背后的天才 1
注:本文转载自:1986 To Present 原文链接:http://www.1986tp.cn/2009/04/the-genius-behind-google-chrome/ 导读:本文为< ...
- Chrome 被曝 0day 漏洞,可让黑客获取用户数据
谷歌浏览器 Chrome 中的 0day 漏洞允许黑客使用浏览器加载恶意 PDF 文档来获取个人数据.由 EdgeSpot 发现的这项安全漏洞,已经在被黑客利用,谷歌官方修复方案只会在4月底发布. 当 ...
- Google Chrome 1.0.154.46稳定版本发布 修复高危安全漏洞
Google刚刚发布了Chrome浏览器的最新稳定版本1.0.154.46,这是基于上一个稳定版1.0.154.43而升级的,虽然此次发布 的是稳定版本,但仍然是Beta版,现在Chrome这个版本号 ...
- Google Chrome 66 稳定版更新:修复四大严重安全漏洞
本周四 Google 发布了 Chrome 66 稳定版维护更新,最新版本号为 v66.0.3359.170,目前已经面向Linux.Mac 和 Windows 三大平台开放,重点修复了一些非常严重的 ...
- 详细分析 Chrome V8 JIT 漏洞 CVE-2021-21220
聚焦源代码安全,网罗国内外最新资讯! 前言 CVE-2021-21220 是4月13号在 github 上公开的一个半 0day v8 引擎 JIT 模块漏洞.由于当时最新stable版本 (89. ...
- 使用libFuzzer fuzz Chrome V8入门指南
本文讲的是使用libFuzzer fuzz Chrome V8入门指南, 什么是V8? V8(也称为Chrome V8)是由Chromium Project开发的用于Google Chrome浏览器 ...
最新文章
- C# Label显示多行文本及换行(WinForm/WebForm)
- Linux文件读写机制及优化方式
- [蓝桥杯][2017年第八届真题]发现环
- 论文阅读(4)--Part-Stacked CNN for Fine-Grained Visual Categorization
- 查找算法-(顺序查找、二分查找、插值查找、斐波那契查找)
- java quartz 教程_Quartz视频教程
- linux mutt 使用指南,linux mutt详解
- 怎么才能转到计算机专业申请书,大学转专业的申请书范文
- 【其他专题】好用的截图(包括动图gif)软件分享
- 计算机基本信息分别代表什么意思,视频基本信息格式不正确是什么意思
- PHP复合函数,复合函数中的剥洋葱理论
- 51单片机汇编密码锁(可修改密码,课程设计,含论文)!(大三上)
- FFmpeg 常用命令汇总
- 微信小程序开发(五)——数据绑定、运算、样式导入、页面跳转
- jenkins设置执行时间_Jenkins环境搭建(4)-配置定时构建
- 如何保护视频资源?这几个防盗链使用技巧你一定要知道!
- 点云PCD和PLY区别
- Windows系统如何部署Rabbit和启动Rabbit服务
- 论文翻译七:Adversarial Transfer Learning for Deep Learning Based Automatic Modulation Classification
- Linux文件查找find