內容說明:
研究人員發現Google Chrome、Microsoft Edge、Brave及Opera等以Chromium為基礎之瀏覽器,存在V8 JavaScript引擎類型混淆(Type Confusion in V8)、越界記憶體存取(Out of Bounds Memory Access)、越界記憶體讀取與寫入(Out of Bounds Memory Read and Write)、使用已釋放記憶體(Use After Free)、堆積緩衝區溢位(Heap Buffer Overflow)、資料驗證不充分(Insufficient data validation)及不當實作(Inappropriate implementation)等多個安全漏洞(CVE-2023-4068至CVE-2023-4078及其他6個已修正但未公布之漏洞),攻擊者可透過特製網頁頁面,利用漏洞執行任意讀寫或是利用堆疊毀損(Heap corruption)進行攻擊。
影響平台:
Google Chrome:115.0.5790.170/.171(不含)以前版本
Microsoft Edge:115.0.1901.200(不含)以前版本
Beave:1.56.20(不含)以前版本
Opera:101.0.4843.43(不含)以前版本
處置建議:
一、請更新Google Chrome瀏覽器至115.0.5790.170/.171以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與自動更新
2.點擊「重新啟動」完成更新
二、請更新Microsoft Edge瀏覽器至115.0.1901.200以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入edge://settings/help,瀏覽器將執行版本檢查與自動更新
2.點擊「重新啟動」完成更新
三、請更新Brave瀏覽器至1.56.20以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入brave://settings/help,瀏覽器將執行版本檢查與自動更新
2.點擊「重新啟動」完成更新
四、請更新Opera瀏覽器至101.0.4843.43以後版本,更新方式如下:
1.開啟瀏覽器,打開選單選擇Update & Recovery
2.點擊Check for update 3.重新啟動瀏覽器完成更新
CVE編號:
CVE-2023-4068
CVE-2023-4069
CVE-2023-4070
CVE-2023-4071
CVE-2023-4072
CVE-2023-4073
CVE-2023-4074
CVE-2023-4075
CVE-2023-4076
CVE-2023-4077
CVE-2023-4078
參考資料:
1.https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html
2. https://github.com/brave/brave-browser/releases/tag/v1.56.20
3. https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security#august-7-2023
4. https://blogs.opera.com/security/2023/08/update-your-browser-security-fixes-for-latest-chrome-bugs/
5. https://www.zerodayinitiative.com/blog/2023/8/8/the-august-2023-security-update-review
6. https://www.sans.org/newsletters/at-risk/xxiii-31/
7. https://nvd.nist.gov/vuln/detail/CVE-2023-4068
8. https://nvd.nist.gov/vuln/detail/CVE-2023-4069
9. https://nvd.nist.gov/vuln/detail/CVE-2023-4070
10. https://nvd.nist.gov/vuln/detail/CVE-2023-4071
11. https://nvd.nist.gov/vuln/detail/CVE-2023-4072
12. https://nvd.nist.gov/vuln/detail/CVE-2023-4073
13. https://nvd.nist.gov/vuln/detail/CVE-2023-4074
14. https://nvd.nist.gov/vuln/detail/CVE-2023-4075
15. https://nvd.nist.gov/vuln/detail/CVE-2023-4076
16. https://nvd.nist.gov/vuln/detail/CVE-2023-4077
17. https://nvd.nist.gov/vuln/detail/CVE-2023-4078