一、漏洞概述

V8是由Google 開源的一個高性能JavaScript 引擎，被廣泛應(yīng)用于各種 JavaScript 執(zhí)行環(huán)境，如Chrome 瀏覽器、Node.js等。

4月17日，監(jiān)測到Google發(fā)布安全公告，修復(fù)了Chrome中的一個類型混淆漏洞（CVE-2023-2033），目前該漏洞的細(xì)節(jié)暫未公開披露，但已發(fā)現(xiàn)在野利用。

該漏洞為Chrome V8 JavaScript 引擎中的類型混淆漏洞，可以通過惡意設(shè)計的 HTML 頁面觸發(fā)該漏洞，成功利用可能導(dǎo)致瀏覽器崩潰或執(zhí)行任意代碼。

二、影響范圍

Google Chrome Desktop（Windows/Mac/Linux）版本：< 112.0.5615.121

三、安全措施

3.1 升級版本

目前該漏洞已經(jīng)修復(fù)，鑒于該漏洞正在被積極利用，建議Chrome用戶盡快更新到以下版本：

Google Chrome Desktop（Windows/Mac/Linux）版本：>= 112.0.5615.121

3.2 臨時措施

手動檢查更新：

可在Chrome 菜單-【幫助】-【關(guān)于 Google Chrome】檢查版本更新，并在更新完成后重新啟動。

此外，Microsoft 也發(fā)布了針對CVE-2023-2033漏洞的Microsoft Edge瀏覽器（基于 Chromium）公告，Microsoft Edge用戶可升級到112.0.1722.48或更高版本。

3.3 通用建議

l  定期更新系統(tǒng)補(bǔ)丁，減少系統(tǒng)漏洞，提升服務(wù)器的安全性。

l  加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的訪問控制，修改防火墻策略，關(guān)閉非必要的應(yīng)用端口或服務(wù)，減少將危險服務(wù)（如SSH、RDP等）暴露到公網(wǎng)，減少攻擊面。

l  使用企業(yè)級安全產(chǎn)品，提升企業(yè)的網(wǎng)絡(luò)安全性能。

l  加強(qiáng)系統(tǒng)用戶和權(quán)限管理，啟用多因素認(rèn)證機(jī)制和最小權(quán)限原則，用戶和軟件權(quán)限應(yīng)保持在最低限度。

l  啟用強(qiáng)密碼策略并設(shè)置為定期修改。