一、漏洞概述

Chrome V8 引擎是Google 開源的一款高性能JavaScript 引擎，主要用於 Chrome 瀏覽器和 Node.js 環境中解析和執行 JavaScript 程式碼。

12月14日，啟明星辰VSRC監測到Google發佈安全公告，修復了Chrome中的一個類型混淆漏洞（CVE-2023-6702）。

該漏洞存在於Chrome V8 JavaScript 引擎中，由於非同步堆疊跟蹤未能正確處理Closure（閉包）運行的情況從而存在類型混淆漏洞，可通過誘導受害者訪問惡意HTML頁面來利用該漏洞，成功利用可能導致瀏覽器崩潰或執行任意程式碼。

此外，Google Chrome中還修復了Blink、libavif、WebRTC、FedCM和CSS中的多個Use-after-free漏洞（追蹤為CVE-2023-6703、CVE-2023-6704、CVE-2023-6705、CVE-2023-6706和CVE-2023-6707），遠端威脅者可用通過惡意設計的HTML頁面來利用漏洞，成功利用可能導致遠端程式碼執行、拒絕服務或資料損壞等。

二、影響範圍

Google Chrome（Windows）版本： 120.0.6099.109/110

Google Chrome（Mac/Linux）版本： 120.0.6099.109

三、安全措施

3.1升級版本

目前這些漏洞已經修復，受影響使用者可升級到以下版本：

Google Chrome（Windows）版本：>= 120.0.6099.109/110

Google Chrome（Mac/Linux）版本：>= 120.0.6099.109

下載連結：

https://www.google.cn/chrome/

3.2臨時措施

手動檢查更新：

可通過Chrome 菜單-【幫助】-【關於 Google Chrome】檢查版本更新，並在更新完成後重新啟動。

3.3通用建議

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4參考連結

https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_12.html

https://chromium-review.googlesource.com/c/v8/v8/+/5110982

https://crbug.com/1501326