几个小时前,谷歌发布了其Chrome网络浏览器的每周安全更新。Chrome 稳定版和 Chrome 扩展稳定版的更新修复了浏览器中的 9 个独特的安全问题。由于这是一个点更新,因此不会在浏览器中引入任何非安全更改。
Chrome 用户可能希望尽快更新网络浏览器。虽然 Chrome 支持自动更新,但这些更新可能需要数天甚至数周的时间才能推送到所有安装中。
立即更新的最佳方法是在浏览器的地址栏中加载 chrome://settings/help。Chrome 会显示浏览器的版本并检查是否有更新。如果找到更新,将自动下载并安装。需要重新启动才能完成该过程。
此更新适用于所有桌面版 Chrome 以及 Android 版 Chrome。成功安装更新后,应显示以下版本之一:
- 适用于 macOS、Linux 或 Windows 的 Chrome:120.0.6099.109
- 适用于 macOS 和 Windows 的 Chrome 扩展:120.0.6099.109
谷歌上周发布了Chrome 120 Stable.除了安全修复之外,Chrome 120 还引入了一些非安全更改。值得注意的是,放弃了对 Android 7 Nougat 设备的支持、新的主动安全检查功能、发送基于 URL 的信号作为浏览器权限建议服务的一部分,以及与家庭组帐户的其他成员共享密码的能力。
谷歌浏览器 120
Chrome 安全更新修复了浏览器中的 9 个安全问题。九个安全问题中的六个列在Chrome 官方发布网站.这三个未公开的漏洞是由谷歌内部检测到的。Google 从不公开报告内部发现的漏洞。
以下是已披露漏洞的列表:
- [16000美元][1501326] 高危 CVE-2023-6702:V8 中的类型混淆。启安信集团 Legendsec Codesafe 团队的 Zhiyi Zhang 和 Zhunki 于 2023-11-10 报道
- [7000美元][1502102] 高危 CVE-2023-6703:在 Blink 中释放后使用。Cassidy Kim(@cassidy6564) 于 2023-11-14 报道
- [7000美元][1504792] 高危 CVE-2023-6704:在 libaif 中释放后使用。复旦大学于 2023-11-23 报告
- [7000美元][1505708] 高危 CVE-2023-6705:在 WebRTC 中释放后使用。Cassidy Kim(@cassidy6564) 于 2023-11-28 报道
- [6000美元][1500921] 高危 CVE-2023-6706:在 FedCM 中释放后使用。匿名者于 2023-11-09 报告
- [7000美元][1504036] 中型 CVE-2023-6707:在 CSS 中释放后使用。@ginggilBesel 于 2023-11-21 报告
除一个外,所有机构的严重性等级均为“高”,就严重性而言仅次于严重性。大多数补丁都解决了各种组件(包括 WebRTC、libavif 和 CSS)中的释放后使用漏洞。V8 问题中也列出了一种类型混淆。
谷歌没有提到野外的漏洞利用。这意味着该公司当时并不知道主动针对已修复漏洞的漏洞利用。更新发布后可能会产生漏洞利用,这是尽快更新 Chrome 的原因之一。