谷歌面临的挑战

关键要点

谷歌最近修复了Chrome浏览器的一个零日漏洞，并承认了APT41利用其开源工具进行恶意攻击。新零日漏洞CVE20232136可能被攻击者通过特制的HTML页面进行利用，被评级为“高严重性”。谷歌已发布稳定版本的更新，修复了多个安全问题。APT41使用谷歌的GC2工具表明其战术的转变，开始更多使用现代开源项目。

谷歌最近经历了几天的困境。上周末，这家科技巨头修复了一个针对Chrome浏览器的零日漏洞，并在发布的2023年4月威胁地平线报告中承认中国威胁组织APT41利用其开源的谷歌命令与控制GC2红队工具进行恶意攻击。此外，谷歌在4月18日又报告了另一个需要修复的Chrome零日漏洞。

该新零日漏洞被标识为CVE20232136，NIST的国家漏洞数据库描述其为一个出现在Skia开源图形平台的整型溢出问题，该溢出出现在谷歌Chrome版本11205615137之前。

NIST表示，该漏洞允许远程攻击者在获得渲染进程控制权后，利用特制的HTML页面进行沙箱逃逸。此漏洞被描述为“高严重性”，谷歌也承认这一漏洞在野外被利用。当前尚未发布CVSS评分。

在4月18日的漏洞更新中，谷歌为Windows更新了版本11205615137/138，修复了八个安全问题，Mac版本同样更新至11205615137，预计将在接下来的几天内推出。Linux系统的修复将稍晚发布。

谷歌修复了另一个利用 Chrome 浏览器的零日漏洞媒体

Skia是一个开源2D图形库，提供跨多种硬件和软件平台的通用API。它作为谷歌Chrome和ChromeOS、Android、Flutter等多个产品的图形引擎。

整型溢出问题可能发生在程序执行计算时，如果真实答案超出了可用空间，会导致程序使用错误的数值，进而以意想不到的方式响应，这使得这些程序容易受到攻击者的利用。

Chrome是目前使用最广泛的网络浏览器，这使得它自然成为威胁行为者的目标， Vulcan Cyber的高级技术工程师Mike Parkin表示。“谷歌在出现问题后快速补丁Chrome是值得称赞的，尽管最近似乎有很多Chrome漏洞，但这让我觉得只是常规的潮起潮落，并不是Chrome长期存在的问题的结果。”

浏览器漏洞对于恶意行为者来说非常有吸引力，因为它们被广泛安装并频繁使用，Tanium的终端安全研究负责人Melissa Bischoping表示。与许多隐患一样，一旦有研究人员发现漏洞或从已知攻击中分析出的问题，就会引起更多关注和分析，可能会识别出多个相关或相似的漏洞。

飞鸟机场

“虽然谷歌不会立即公开这些漏洞的详细信息，但好消息是，一旦补丁可用，Chrome会迅速更新，”Bischoping指出。“对于大多数组织而言，应用浏览器补丁在运营连续性上风险较低，这也是降低环境中脆弱性暴露的简单方式。这是Chrome修补的常规业务，谷歌遵循了其标准的披露/补丁程序。”