谷歌修补与iOS间谍软件攻击有关的关键Chrome漏洞

看来，针对苹果iPhone的间谍软件攻击可能也会危及谷歌的Chrome浏览器。

谷歌今天针对Chrome的一个关键漏洞发布了紧急补丁，同时警告称，黑客可能已经在利用该漏洞攻击用户。

苹果和监督组织公民实验室向谷歌报告了这个漏洞-这表明该漏洞与最近为iOS、MacOS和WatchOS发现的间谍软件攻击有关。

多伦多大学ʼS芒克学院的公民实验室最初是在调查一台设备时发现了对苹果产品的威胁，该设备属于一家总部位于华盛顿特区、设有国际办事处的公民社会组织的雇员。

事实证明，该设备感染了与NSO集团有关的Pegasus间谍软件，NSO集团是一家以色列网络武器供应商，以向外国政府和执法组织出售武器而闻名。具体地说，该间谍软件利用了苹果软件中的两个漏洞，CVE-2023-41064和CVE-2023-41061，涉及使用恶意制作的文件。

尽管NSO集团没有回应置评请求，但多年来一直有人看到该公司为Pegasus升级了新功能，这可以解释为什么该间谍软件能够瞄准最新版本的iOS以及现在的谷歌浏览器。

Chrome的关键漏洞CVE-2023-4863涉及WebP，这是浏览器支持的一种图像格式。当Chrome处理恶意创建的HTML页面时，一个错误可导致软件将数据淹没到浏览器的内存缓冲区中。诱杀网页可以被利用来在浏览器的内存中写入数据，而这通常是不允许的。这表明，该漏洞可能会与恶意电子邮件或网页一起打包，以便在受害者的Chrome浏览器会话中启动流氓计算机代码，如从互联网下载恶意软件。

谷歌的补丁将以“116.0.5845.187/.188”的形式面向Mac、Linux和Windows用户。修复程序计划在未来几天和几周内推出，尽管我们今天收到了补丁。要做到这一点，你可以到“关于Chrome”标签页自动接收更新，或者访问谷歌的支持页面，了解如何下载补丁。

周一，苹果还为老款iPhone发布了一个补丁，以保护用户免受威胁。