Google Chrome修補今年第3個零時差漏洞

Google本周稍早釋出Chrome桌機版更新以修補一個，也是今年第3個已遭濫用的重大漏洞。

最新釋出的更新是Linux、Mac版Chrome 114.0.5735.106以及Windows版114.0.5735.110，會在幾天到幾周內部署到用戶端。

這次更新包含2個安全漏洞，包括一個重大風險漏洞CVE-2023-3079的修補程式。Google說已有針對本漏洞的攻擊程式在網上流傳。

CVE-2023-3079是由Google威脅分析小組研究人員Clément Lecigne通報，它是存在V8 JavaScript引擎的型態混淆漏洞。根據美國國家標準暨技術研究院（NIST）漏洞資料庫，本漏洞可能讓遠端攻擊者藉由引導用戶連向惡意HTML網頁引發記憶體堆積毁損。漏洞風險值不詳，Google僅說明為高風險漏洞。

記憶體堆積毁損小則造成應用程式無法執行，大則造成資訊外洩、阻斷服務（DoS）攻擊，或是執行任意程式碼。

CVE-2023-3079也是Google Chrome今年修補的第3個零時差漏洞。前二個皆出現於今年四月，其中的CVE-2023-2136同為Clément Lecigne通報。

最新漏洞影響所有Chromium-based瀏覽器，包括Chrome、Edge、Brave、Opera和Vivaldi等，用戶應及早更新到最新瀏覽器。微軟也在昨日釋出Edge更新114.0.1823.37。