Google緊急修補Chrome今年第2個零時差漏洞

Google三天前才修補Chrome瀏覽器今年第1個零時差漏洞，昨（19）日又再發布更新，修補第2個已遭到濫用的高風險安全漏洞。

Google昨日針對Windows、Mac和Linux平臺分別釋出Chrome 112.0.5615.137/138、112.0.5615.137，以及112.0.5615.165版本，預計會在未來幾天到幾周內向全球用戶部署完成，以修補數項安全漏洞。其中，CVE-2023-2136已經被發現有濫用活動，是Chrome上今年發現的第2個零時差漏洞。它影響Chrome的開源2D繪圖函式庫Skia，為一整數溢位（Integer overflow）漏洞，可讓之前已破壞渲染器（renderer）行程的遠端攻擊者傳送惡意HTML網頁，執行沙箱逃逸（sandbox escape），而在用戶機器上執行惡意活動。

CVE-2023-2136為Google威脅分析小組研究人員Clément Lecigne通報。本漏洞屬於高風險，影響所有Chromium-based瀏覽器，包括Edge、Brave、Opera和Vivaldi等，用戶應儘速更新到最新版本。微軟也已釋出最新版本Edge到Mac及Windows機器。

最新版Chrome更新另外修補的高風險漏洞，包括CVE-2023-2133和CVE-2023-2134，皆為Services Worker API的越界記憶體存取漏洞。CVE-2023-2135為DevTools中的使用已釋放記憶體漏洞。CVE-2023-2137則是SQLite元件的堆積緩衝溢位漏洞。