漏洞公告
近日,中国电信SRC监测到Chrome官方发布多个重要漏洞通告,当前官方已发布相关补丁,建议用户及时更新对应补丁修复漏洞。
参考链接:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_30.html
一、影响版本
受影响版本:
二、漏洞描述
Google Chrome存在越界写入漏洞(CVE-2023-2929):在Google Chrome 114.0.5735.90之前的Swiftshader中,越界写入允许远程攻击者通过精心制作的HTML页面潜在地利用堆损坏。(Chromium安全严重性:高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在使用后释放漏洞(CVE-2023-2930):在 Google Chrome 的扩展程序中 114.0.5735.90 之前存在使用后释放漏洞,允许攻击者通过制作恶意 HTML 页面诱导用户安装可能利用Heap Corruption 漏洞的扩展程序。(Chromium 安全级别:高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在使用后释放漏洞(CVE-2023-2931):Google Chrome在114.0.5735.90版本之前的PDF中存在使用后释放漏洞,允许远程攻击者通过特制的PDF文件可能利用堆损坏。(Chromium安全严重性:高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在使用后释放漏洞(CVE-2023-2932):Google Chrome 114.0.5735.90 之前版本中 PDF 的使用后释放问题存在攻击者可以通过特制的 PDF 文件,潜在利用堆破坏远程攻击漏洞。(Chromium安全级别:高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在使用后释放漏洞(CVE-2023-2933):Google Chrome在版本114.0.5735.90之前的PDF中存在使用后释放漏洞,可能允许远程攻击者通过精心制作的PDF文件对堆进行破坏性攻击。(Chromium 安全等级:高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在越界内存访问漏洞(CVE-2023-2934):在 Google Chrome 的114.0.5735.90版本之前,Mojo 中的越界内存访问使得远程攻击者有可能通过精心构造的 HTML 页面利用堆栈破坏漏洞。(Chromium 安全性严重性: 高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在类型混淆漏洞(CVE-2023-2935):Google Chrome 114.0.5735.90以前版本中的V8类型混淆可能允许远程攻击者通过特制的HTML页面潜在地利用堆破坏。(Chromium安全级别: 高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
Google Chrome存在类型混淆漏洞(CVE-2023-2936):Google Chrome 114.0.5735.90以前版本中的V8存在类型混淆漏洞,可能允许远程攻击者通过特制的HTML页面潜在地利用堆破坏。(Chromium安全级别: 高)
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
三、解决方案
官方建议:
更新步骤:浏览器右上角点开Chrome 菜单>帮助>关于 Google Chrome
检查是否已更新为最新版本114.0.5735.91。
