谷歌发现监控公司利用Chrome的严重缺陷

据谷歌安全研究人员称，一家神秘的监控公司正在利用Chrome浏览器中的一个新漏洞来攻击用户。

谷歌安全研究人员Clément Lecigne于周一发现了这一威胁，这促使该公司发布了一个紧急补丁，因为该漏洞的漏洞存在于“野外”。谷歌安全研究员玛迪·斯通在推特上表示，该漏洞正被一家商业监控供应商使用，但她没有透露该公司的名字。

谷歌将这一威胁评为“高度”严重漏洞。该漏洞名为CVE-2023-5217，涉及Chrome浏览器处理VP8视频压缩格式的方式。它可能会在VP8库中触发“堆缓冲区溢出”，这意味着数据可能会在浏览器的相邻内存位置被覆盖。这类错误可被利用来执行流氓计算机代码，如触发浏览器打开黑客控制的网页或下载恶意软件。

在安全界发现商业间谍软件公司的零日漏洞激增之际，修复程序出现了。本月早些时候，谷歌修补了Chrome的另一个漏洞，该漏洞似乎与臭名昭著的监控NSO集团有关，NSO集团是一家向外国政府出售间谍软件的公司。

对于CVE-2023-5217，谷歌通过适用于Windows、MacOS和Linux的Chrome版本117.0.5938.132发布了该补丁。要接收修复，浏览器应该通过在浏览器的右上角显示“更新”按钮来提示您这样做。但你也可以手动下载，进入“关于Chrome”选项卡，自动接收更新，或访问谷歌的支持页面，了解如何下载补丁。

使用谷歌Chromium引擎的微软Edge可能也容易受到该漏洞的影响。但该公司的安全页面尚未提及此事。