CVE-2023-3079：Google V8类型混淆漏洞通告

2023-06-06 15:24

报告编号：CERT-R-2023-201

报告来源：360CERT

报告作者：360CERT

更新日期：2023-06-06

0x01 漏洞简述

2023年06月06日，360CERT监测发现Google官方发布了Google Chrome的风险通告，漏洞编号为CVE-2023-3079，漏洞等级：高危，漏洞评分：8.8。该漏洞已出现在野利用。

Google Chrome是由Google开发的免费网页浏览器。Chrome代码是基于其他开放源代码软件所编写，包括Apple WebKit和Mozilla Firefox，并开发出称为“V8”的高性能JavaScript引擎。

对此，360CERT建议广大用户及时将Google Chrome升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

360CERT对该漏洞的评定结果如下

组件: Google:Chrome for Windows, Google:Chrome for Mac and Linux

漏洞类型: 类型混淆

实际影响: 任意代码执行

主要影响: 设备完全控制

简述: 该漏洞为Chrome V8 JavaScript 引擎中的类型混淆漏洞，此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。

组件	影响版本	安全版本
Google:Chrome for Windows	< 114.0.5735.110	>= 114.0.5735.110
Google:Chrome for Mac and Linux	< 114.0.5735.106	>= 114.0.5735.106

建议用户更新到114.0.5735.110以阻止潜在威胁。还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复可用时应用这些修复。

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360企业安全浏览器相比传统浏览器，360企业安全浏览器兼集中管控、企业数据防护、安全大脑赋能、跨平台适配、商用密码算法支持、应用兼容等六大特点。请用户前往360企业安全浏览器获取对应产品。

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

2023-6-5 Google官方发布通告

2023-6-6 360CERT发布通告