漏洞描述
近日, Google官方捕获了一个野外漏洞利用CVE-2023-2033, 经过赛博昆仑CERT分析这是一个V8上的逻辑漏洞最后导致类型混淆, 利用该漏洞最后可以达到render进程的远程代码执行漏洞。
需要注意的是, 经过复现, 该漏洞不需要JIT即可以触发。
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Chrome < 112.0.5615.121
需要配合一个沙箱逃逸漏洞。
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本 112.0.5615.121
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
原文始发于微信公众号(赛博昆仑CERT):【复现】Google Chrome远程代码执行漏洞(CVE-2023-2033)的风险通告
