内存安全周报第140期 | 谷歌发布Chrome安全更新补丁以解决0day漏洞

一、谷歌发布Chrome安全更新补丁以解决0day漏洞 （6.5）

近日，谷歌发布了针对Chrome网络浏览器的安全更新补丁，旨在解决今年被黑客利用的第三个高危0day漏洞。根据谷歌发布的安全公告，该漏洞为CVE-2023-3079，已经存在于实际部署环境中。

谷歌没有公布关于如何利用0day漏洞以及攻击者如何使用该漏洞的细节，只公布了该漏洞的严重程度及其类型。

详细情况

谷歌的研究员Clément Lecigne于2023年6月1日在Chrome的JavaScript引擎V8中发现CVE-2023-3079，并将其评估为高危问题。CVE-2023-3079属于类型混淆漏洞，即在引擎运行过程中，会错误解释对象类型，从而导致恶意的内存操作和执行任意代码。

此前，谷歌已经发布了两个修复Chrome中类型混淆漏洞的安全更新。第一个是CVE-2023-2033，也是出现在V8 JavaScript引擎中的类型混淆漏洞。第二个是CVE-2023-2136，会影响浏览器的2D图形库Skia操作。

0day漏洞经常被攻击者利用，他们的主要目标是政府、媒体或其他重要组织中的高知名度人物。因此，强烈建议所有Chrome用户尽快安装可用的安全更新补丁，以保护个人信息和设备安全。

此次安全更新的稳定版本包括Windows的114.0.5735.110版以及Mac和Linux的114.0.5735.106版。请确保您使用的是最新版本，以获得最佳的安全保护。

参考链接：

Google fixes new Chrome zero-day flaw with exploit in the wild (bleepingcomputer.com)

二、 Clop勒索团伙利用0day漏洞进行数据盗窃攻击 （6.5)

上周，美国Progress Software公司的MoVeit Transfer遭受了0day漏洞攻击。本周，Clop勒索团伙承认是MOVEit Transfer数据盗窃攻击的幕后黑手。他们利用0day漏洞侵入了数百家公司的服务器并窃取数据。

详细情况

Clop组织于5月27日开始利用0day漏洞，在美国阵亡将士纪念日长假期间进行了大规模的漏洞攻击。尽管Clop不愿透露在MOVEit Transfer攻击中受攻击的组织数量，但Clop表示，如果这些组织不支付赎金，被盗数据将从6月14日开始被公布在网站。

此外，该勒索软件团伙宣布他们尚未对受害者进行勒索。很可能他们正在利用这段时间审查数据，确定有价值的信息，并制定针对被攻破公司的赎金要求。

首批受害者

第一批MOVEit数据盗窃攻击的受害者信息公开。英国工资和人力资源解决方案供应商Zellis证实，由于遭受0day漏洞攻击导致公司数据泄露，这也对其部分客户产生了影响。Zellis发布的声明中提及全球范围内许多公司都受到了Progress Software的MOVEit Transfer产品的0day漏洞的影响。

此外，爱尔兰航空公司也因Zellis MOVEit的入侵遭受了损失。幸运的是，在这次事件中，并未泄露与爱尔兰航空公司员工有关的财务或银行信息。

针对受到MOVEit Transfer数据盗窃攻击影响的个人和组织，Clop采取了一种与众不同的方式，他们要求受影响的组织与他们联系以协商赎金。

参考链接：

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/