Google緊急修補已被利用的Chrome漏洞

Google周一（9/11）緊急更新Windows、Mac及Linux上的Chrome瀏覽器，以修補已遭到駭客利用的CVE-2023-4863安全漏洞，而該漏洞正是由上周同步發布漏洞訊息的公民實驗室（Citizen Lab）及蘋果工程師所提報。

CVE-2023-4863為一位於WebP的堆積緩衝區溢位漏洞。WebP是Google所開發的點陣圖檔案格式，目的是為了取代JPEG、PNG及GIF等格式，它同時支援破壞性與非破壞性資料壓縮，Google宣稱該格式將可用來建立更小、更豐富且傳輸更快的圖像。

Google僅說已發現針對CVE-2023-4863的攻擊程式，並未揭露漏洞細節。而Cybersecurity Help則解釋，該漏洞源自於處理WebP圖像時的邊界錯誤，駭客只要誘導受害者造訪一個惡意網站，就能觸發緩衝區溢位，並於受害者系統上執行任意程式。

值得注意的是，此一漏洞影響所有支援WebP圖像處理的瀏覽器。而除了Chrome與基於Chromium的各種瀏覽器（如Microsoft Edge）之外，蘋果的Safari及Mozilla的Firefox也都支援WebP。

Windows版Chrome用戶可更新至116.0.5845.187/.188 ，Mac及Linux版Chrome用戶則可更新至116.0.5845.187來修補該漏洞，Google預計會在未來幾天至幾周的時間，全面部署更新版Chrome至所有系統上。