Google Chrome 120 更新修复了 9 个安全问题

几个小时前，谷歌发布了其Chrome网络浏览器的每周安全更新。Chrome 稳定版和 Chrome 扩展稳定版的更新修复了浏览器中的 9 个独特的安全问题。由于这是一个点更新，因此不会在浏览器中引入任何非安全更改。

Chrome 用户可能希望尽快更新网络浏览器。虽然 Chrome 支持自动更新，但这些更新可能需要数天甚至数周的时间才能推送到所有安装中。

立即更新的最佳方法是在浏览器的地址栏中加载 chrome://settings/help。Chrome 会显示浏览器的版本并检查是否有更新。如果找到更新，将自动下载并安装。需要重新启动才能完成该过程。

此更新适用于所有桌面版 Chrome 以及 Android 版 Chrome。成功安装更新后，应显示以下版本之一：

• 适用于 macOS、Linux 或 Windows 的 Chrome：120.0.6099.109
• 适用于 macOS 和 Windows 的 Chrome 扩展：120.0.6099.109

谷歌上周发布了Chrome 120 Stable.除了安全修复之外，Chrome 120 还引入了一些非安全更改。值得注意的是，放弃了对 Android 7 Nougat 设备的支持、新的主动安全检查功能、发送基于 URL 的信号作为浏览器权限建议服务的一部分，以及与家庭组帐户的其他成员共享密码的能力。

谷歌浏览器 120

Chrome 安全更新修复了浏览器中的 9 个安全问题。九个安全问题中的六个列在Chrome 官方发布网站.这三个未公开的漏洞是由谷歌内部检测到的。Google 从不公开报告内部发现的漏洞。

以下是已披露漏洞的列表：

• [16000美元][1501326] 高危 CVE-2023-6702：V8 中的类型混淆。启安信集团 Legendsec Codesafe 团队的 Zhiyi Zhang 和 Zhunki 于 2023-11-10 报道
• [7000美元][1502102] 高危 CVE-2023-6703：在 Blink 中释放后使用。Cassidy Kim（@cassidy6564） 于 2023-11-14 报道
• [7000美元][1504792] 高危 CVE-2023-6704：在 libaif 中释放后使用。复旦大学于 2023-11-23 报告
• [7000美元][1505708] 高危 CVE-2023-6705：在 WebRTC 中释放后使用。Cassidy Kim（@cassidy6564） 于 2023-11-28 报道
• [6000美元][1500921] 高危 CVE-2023-6706：在 FedCM 中释放后使用。匿名者于 2023-11-09 报告
• [7000美元][1504036] 中型 CVE-2023-6707：在 CSS 中释放后使用。@ginggilBesel 于 2023-11-21 报告

除一个外，所有机构的严重性等级均为“高”，就严重性而言仅次于严重性。大多数补丁都解决了各种组件（包括 WebRTC、libavif 和 CSS）中的释放后使用漏洞。V8 问题中也列出了一种类型混淆。

谷歌没有提到野外的漏洞利用。这意味着该公司当时并不知道主动针对已修复漏洞的漏洞利用。更新发布后可能会产生漏洞利用，这是尽快更新 Chrome 的原因之一。