谷歌修补了在Chrome浏览器中积极利用的新零日漏洞媒体

关键要点

谷歌在本周的安全新闻中引起了关注，周三宣布已为Chrome浏览器发布对新发现的零日漏洞的补丁。这个新零日漏洞CVE20235217是今年谷歌修复的第五个被积极利用的零日漏洞，被描述为libvpx自由编解码库中vp8编码的堆缓冲区溢出。在周一，谷歌的威胁分析小组的Clment Lecigne报告了该缺陷。

堆缓冲区溢出漏洞的利用可能导致程序崩溃，或执行任意代码，影响整体的可用性和完整性。谷歌威胁分析小组的研究人员Maddie Stone在X前Twitter上发布信息称，零日漏洞已被一商业间谍软件厂商用来针对高风险个人。

Critical Start的网络威胁研究高级经理Callie Guenther指出，尽管最近的零日漏洞被提及为商业间谍软件厂商所利用，但谷歌并没有明确表示其与Pegasus有关系。

“Pegasus以利用漏洞进行针对性攻击而闻名，但没有具体信息，无法明确将Pegasus与CVE20235217联系起来。” Guenther解释道。

威胁行为者继续瞄准流行产品如Chrome

该最新零日漏洞的发布恰逢谷歌本周报告的另一个漏洞，即CVE20235129，这是libwebp图像库的一个关键漏洞，现在被认为是CVE20234863的重复，影响图像处理，可能允许攻击者在受影响的系统上执行任意代码。Guenther解释说，该漏洞具有广泛的攻击面，并且谷歌给出的CVSS评分为100，NIST则将其评为高危的88分。

“确实有关于谷歌漏洞的活动明显增加，发现和修复了多个零日漏洞，” Guenther表示。“这一活动强调了威胁行为者不断利用流行软件的努力，以及保持警惕和及时应用补丁的重要性。”

CVE20235217在某种程度上与当前的背景相似，因为它也是一个在与渲染视觉媒体相关的库中发现的堆缓冲区溢出问题这次是视频，Tanium的终端安全研究总监Melissa Bischoping解释道。

“CVE202351294863是在libwebp中，libwebp支持WebP图像文件格式，用于提高图像的压缩率和加载速度，” Bischoping说。“虽然谷歌的TAG将其归于一家商业监视厂商，但重要的是要记住，归属并不会影响你是否打补丁，无论是谁发现了这个漏洞，它都可能会被多种威胁行为者采纳并重用。因此，要相应地打补丁。”