威脅分析小組揭零日漏洞，Google Chrome、蘋果系統發布修復更新

Google 威脅分析小組（Threat Analysis Group，TAG）的研究人員一如既往忙碌工作，他們發現針對 Chrome 瀏覽器和蘋果作業系統共 3 個高危險性的零日漏洞，恐被駭客利用來攻擊用戶。

Google Chrome 桌面版 11 月 28 日發布更新版本，一口氣修復 7 個漏洞。其中之一是 TAG 成員 Benoît Sevens 和 Clément Lecigne 在 11 月 24 日回報的零日漏洞，編號為 CVE-2023-6345，也成為今年第 6 個 Chrome 零日漏洞。此一零日漏洞存在於瀏覽器的 Skia 圖形庫中，讓駭客在攻擊目標處理特製內容遭執行惡意程式碼。

蘋果 11 月 30 日也公告發布安全性更新，修復 iOS、iPadOS 存在的 2 個漏洞，這些漏洞駐留在驅動 Safari 和其他應用程式的 WebKit 引擎，蘋果披露的內容表明，駭客利用漏洞可對早期系統版本進行攻擊。

「蘋果獲悉有報告稱此問題可能已被針對 iOS 16.7.1 之前的版本」，蘋果公告指出，由 TAG 成員 Clément Lecigne 回報的 2 個漏洞分別編號 CVE-2023-42916 和 CVE-2023-42917：前者是一種越界讀取，當 WebKit 支援的應用程式處理線上內容時，駭客能夠從中獲得敏感資訊；後者則是一個記憶體損壞缺陷，導致易受攻擊的裝置在處理駭客為應用程式建立的內容時，遭到執行惡意程式碼。

Google Chrome 和蘋果 iOS、iPadOS 的更新會推送到用戶裝置上，無論你採取自動或手動更新，都建議趕緊更新自己使用的軟體和系統，確保使用上安全無虞。

• Google Chrome emergency update fixes 6th zero-day exploited in 2023
• Apple fixes two new iOS zero-days in emergency updates
• Google researchers report critical zero-days in Chrome and all Apple OSes

（首圖來源：shutterstock）