几个小时前,谷歌发布了其chrome网络浏览器的每周安全更新。chrome 稳定版和 chrome 扩展稳定版的更新修复了浏览器中的 9 个独特的安全问题。由于这是一个点更新,因此不会在浏览器中引入任何非安全更改。
chrome 用户可能希望尽快更新网络浏览器。虽然 chrome 支持自动更新,但这些更新可能需要数天甚至数周的时间才能推送到所有安装中。
立即更新的最佳方法是在浏览器的地址栏中加载 chrome://settings/help。chrome 会显示浏览器的版本并检查是否有更新。如果找到更新,将自动下载并安装。需要重新启动才能完成该过程。
此更新适用于所有桌面版 chrome 以及 android 版 chrome。成功安装更新后,应显示以下版本之一:
- 适用于 macos、linux 或 windows 的 chrome:120.0.6099.109
- 适用于 macos 和 windows 的 chrome 扩展:120.0.6099.109
谷歌上周发布了chrome 120 stable.除了安全修复之外,chrome 120 还引入了一些非安全更改。值得注意的是,放弃了对 android 7 nougat 设备的支持、新的主动安全检查功能、发送基于 url 的信号作为浏览器权限建议服务的一部分,以及与家庭组帐户的其他成员共享密码的能力。
谷歌浏览器 120
chrome 安全更新修复了浏览器中的 9 个安全问题。九个安全问题中的六个列在chrome 官方发布网站.这三个未公开的是由谷歌内部检测到的。google 从不公开报告内部发现的漏洞。
以下是已披露漏洞的列表:
- [16000美元][1501326] 高危 cve-2023-6702:v8 中的类型混淆。启安信集团 legendsec codesafe 团队的 zhiyi zhang 和 zhunki 于 2023-11-10 报道
- [7000美元][1502102] 高危 cve-2023-6703:在 blink 中释放后使用。cassidy kim(@cassidy6564) 于 2023-11-14 报道
- [7000美元][1504792] 高危 cve-2023-6704:在 libaif 中释放后使用。复旦大学于 2023-11-23 报告
- [7000美元][1505708] 高危 cve-2023-6705:在 webrtc 中释放后使用。cassidy kim(@cassidy6564) 于 2023-11-28 报道
- [6000美元][1500921] 高危 cve-2023-6706:在 fedcm 中释放后使用。匿名者于 2023-11-09 报告
- [7000美元][1504036] 中型 cve-2023-6707:在 css 中释放后使用。@ginggilbesel 于 2023-11-21 报告
除一个外,所有机构的严重性等级均为“高”,就严重性而言仅次于严重性。大多数补丁都解决了各种组件(包括 webrtc、libavif 和 css)中的释放后使用漏洞。v8 问题中也列出了一种类型混淆。
谷歌没有提到野外的漏洞利用。这意味着该公司当时并不知道主动针对已修复漏洞的漏洞利用。更新发布后可能会产生漏洞利用,这是尽快更新 chrome 的原因之一。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/yun270794.html