【复现】Google Chrome远程代码执行漏洞(CVE-2023-2033)的风险通告
2023-4-17 20:50:23 Author: 赛博昆仑CERT(查看原文) 阅读量:53 收藏

-赛博昆仑漏洞安全通告-

Google Chrome远程代码执行漏洞(CVE-2023-2033)的风险通告

漏洞描述

近日, Google官方捕获了一个野外漏洞利用CVE-2023-2033, 经过赛博昆仑CERT分析这是一个V8上的逻辑漏洞最后导致类型混淆, 利用该漏洞最后可以达到render进程的远程代码执行漏洞。

需要注意的是, 经过复现, 该漏洞不需要JIT即可以触发。

漏洞名称
Google Chrome render远程代码执行漏洞
漏洞公开编号
CNVD-2023-2033
昆仑漏洞库编号
CYKL-2023-004867
漏洞类型
类型混淆
公开时间
2023-04-14
漏洞等级
高危
评分
9.8
漏洞所需权限
无权限要求
漏洞利用难度
PoC状态
未公开
EXP状态
公开
漏洞细节
未公开
在野利用
已有
影响版本

Chrome < 112.0.5615.121

利用条件

需要配合一个沙箱逃逸漏洞

漏洞复现
利用该漏洞可以泄露一个theHole value到JS的执行环境, 利用该值, 可以触发以前公开利用中引入的一个csa_dcheck failed:

防护措施

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本 112.0.5615.121

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
时间线
2023年4月14日,谷歌官网发布补丁
2023年4月17日,赛博昆仑CERT发布漏洞应急通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484057&idx=1&sn=5e7a62b0884772748e702d2e27abffe1&chksm=c12aff18f65d760e0c135ec49211e26b81650e902cd3cf98664d2974e9a668ef6ceecdc4f956#rd
如有侵权请联系:admin#unsafe.sh