Google再緊急修補Chrome零時差漏洞

Google周四又緊急釋出Chrome安全更新，以修補10項漏洞，包含一個已遭到濫用的漏洞。

Google昨日針對Windows、Mac和Linux平臺釋出桌機版Chrome 117.0.5938.132。最新更新修補的10項漏洞中包括3個高風險漏洞，其中最重要的是已遭濫用的CVE-2023-5217。它是位於VP8編碼函式庫libvpx中的堆積型緩衝溢位（heap buffer overflow）漏洞。Libvpx為Google和Open Media聯盟（AOMedia）合作開發而成。通常緩衝溢位漏洞會引發程式崩潰或任意程式碼執行。

本漏洞是由Google威脅分析小組研究人員Clément Lecigne通報。Google在發現後2天內完成修補。另一名成員Maddie Stone說明，這是Lecigne發現最新一起商業間諜軟體開發商濫用的漏洞。

Lecigne今年3月曾指出Google追蹤到，至少有30家業者出售商業性的間諜監控軟體給政府支持的單位，利用包括iOS、Android及Chrome的零日（0-day）或數日（n-day）漏洞，以監控異議份子或記者。

另二項重大漏洞CVE-2023-5186及CVE-2023-5187，分別是位於Passwords元件及Extensions元件中的使用已釋放記憶體漏洞，攻擊者可能傳送惡意連結誘使用戶連向特定UI或下載外掛，引發堆積記憶體毁損，後果可能小從資料流失，大到系統無法運作。

Google呼籲用戶應儘速安裝最新版Chrome更新以策安全。