Google Chrome<120.0.6099.109 存在类型混淆漏洞 (CVE-2023-6702)

漏洞类型 使用不兼容类型访问资源(类型混淆) 发现时间 2023-12-13 漏洞等级 高危
MPS编号 MPS-q9kf-nc82 CVE编号 CVE-2023-6702 漏洞影响广度 广

漏洞危害

OSCS 描述
Chrome v8 是 Google Chrome 的 JavaScript 和 WebAssembly 引擎,负责解释和执行 JavaScript 代码。
Google Chrome 120.0.6099.109之前由于 Chrome v8 的异步堆栈跟踪(如:Promise.all、Promise.allSettled、Promise.any)未正确处理闭包调用的状态从而存在类型混淆漏洞,攻击者可诱导用户访问恶意链接远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-q9kf-nc82

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
chrome (-∞, 120.0.6099.109) 升级 将 chrome 升级至 120.0.6099.109 及以上版本
chromium (-∞, 120.0.6099.109) 升级 将组件 chromium 升级至 120.0.6099.109 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-q9kf-nc82

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-q9kf-nc82

https://github.com/v8/v8/commit/cbd09b2ca928f1fd929ef52e173aa81213e38cb8

https://chromium-review.googlesource.com/c/v8/v8/+/5110982

https://github.com/v8/v8/commit/bde3d360097607f36cd1d17cbe8412b84eae0a7f

https://crbug.com/1501326

(0)
上一篇 2023年12月13日 下午12:00
下一篇 2023年12月14日 下午12:00

相关推荐

  • Sudo ipa_hostname 权限提升漏洞 (CVE-2023-7090)

    漏洞类型 权限管理不当 发现时间 2023-12-24 漏洞等级 中危 MPS编号 MPS-7zoc-5nsw CVE编号 CVE-2023-7090 漏洞影响广度 广 漏洞危害 OSCS 描述 Sudo 是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。SSSD是一个用于提供身份验证和授权服务的守护程序。 受影响版本中,由于…

    2023年12月26日
    0
  • Apache James Server JMX端点暴露 反序列化漏洞 (CVE-2023-51518)

    漏洞类型 反序列化 发现时间 2024-02-27 漏洞等级 低危 MPS编号 MPS-f8st-hpv7 CVE编号 CVE-2023-51518 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache James 提供 在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器。 Apache James 服务器中 JMX 端点在认证前对未经验证的数据…

    2024年2月28日
    0
  • Node.js setuid 权限管理不当漏洞 (CVE-2024-22017)

    漏洞类型 权限管理不当 发现时间 2024-03-19 漏洞等级 高危 MPS编号 MPS-53sx-8oyz CVE编号 CVE-2024-22017 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。 在受影响的版本中,由于lib…

    2024年3月25日
    0
  • MLflow <2.9.2 路径遍历漏洞 (CVE-2023-6831)

    漏洞类型 路径遍历 发现时间 2023-12-15 漏洞等级 严重 MPS编号 MPS-m397-puva CVE编号 CVE-2023-6831 漏洞影响广度 一般 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow 2.9.2 之前版本中存在路径遍历漏洞。由于在mlflow/uri.py文件中的validate…

    2023年12月18日
    0
  • Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable …

    2023年12月18日
    0