谷歌发布了一个补丁来修复在其Chrome浏览器中发现的第二个零日漏洞(在新标签页中打开)今年。

该公司在一份安全公告中证实，与几天前刚刚修补的前一个威胁非常相似，这个威胁也在野外被利用。

该漏洞被跟踪为CVE-2023-2136，被描述为在谷歌的开源多平台2D图形库Skia中发现的一个高危整数溢出漏洞。Chrome使用Skia来渲染图形、文本、图像、动画和类似的内容，BleepingComputer将其描述为浏览器渲染管道的“关键组件”。

允许访问

通过滥用该缺陷，潜在的威胁行为者可能会迫使浏览器错误地呈现页面、遭受内存损坏并允许任意代码执行。后者是最有问题的，因为这可能允许未经授权访问易受攻击的端点。

该缺陷是由谷歌威胁分析小组(TAG)的ClémentLecigne发现的。TAG通常会寻找国家支持的行为者使用的漏洞和恶意软件，因此推测此漏洞被民族国家攻击者滥用并不过分。

话虽这么说，但在大多数浏览器实例被修补之前，谷歌隐瞒了有关该缺陷及其利用的更多细节。

“在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制，”该公司表示。“如果该错误存在于其他项目同样依赖但尚未修复的第三方库中，我们也将保留限制。”

为保护您的浏览器免受此攻击，请确保将其升级到版本112.0.5615.137。该补丁总共解决了八个漏洞。截至发稿时，该漏洞已针对Windows和Mac设备修复，而那些使用Linux的设备则需要稍等片刻。谷歌表示，该操作系统的修复工作正在进行中，应该“很快”发布。

虽然Chrome通常会在启动时自动安装这些补丁，但用户也可以通过导航至Chrome菜单(右上角的三个水平点)、点击帮助并移至关于GoogleChrome来手动触发它。