Chrome 最新零日漏洞已得到修复
source link: https://netsecurity.51cto.com/article/705097.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
据 Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本Chrome 99.0.4844.84,以解决一个在野被利用的高严重性零日漏洞。
上周,谷歌发布安全公告称,研究人员发现一个在野被利用高危零日漏洞,追踪为 CVE-2022-1096,已经更新版本以解决漏洞问题。Chrome 新版本 99.0.4844.84 已经向全球推出,可能需要几周时间即可覆盖整个用户群体。
需要更新的用户可以进入 Chrome 菜单,查找关于谷歌浏览器更新版本,进行更新。另外,网络浏览器还将自动检查新的更新,并在下次启动时自动安装。
漏洞细节未披露
据悉,该零日漏洞(CVE-2022-1096)由一位匿名安全人员发现,是 Chrome V8 JavaScript 引擎的一个高严重性的类型混淆漏洞。
类型混淆漏洞通常会在成功利用后,导致浏览器崩溃。通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。
值得一提的是,尽管谷歌表示已经在野外检测到利用这一零日漏洞的攻击事件,但没有分享有关这些事件的技术细节或其他信息。
谷歌方面表示,公司会对用户访问错误的链接进行限制,直到大多数用户更新到最新版本。如果该漏洞存在于其他项目同样依赖的第三方库中,在尚未修复之前,也将保留限制。
今年修补了第二个 Chrome 零日漏洞
2022 年以来,谷歌已经发现并解决了 2 个 Chrome 零日漏洞,另外一个漏洞追踪为 CVE-2022-0609,已经在上月发布了更新补丁。
CVE-2022-0609 零日漏洞是 Animation 中的免费使用问题,该漏洞是由谷歌威胁分析小组的 Adam Weidemann 和 Clément Lecigne 报告。
谷歌威胁分析小组(TAG)透露,某些具有国家背景的黑客组织在补丁发布前几周,就已经利用了 CVE-2022-0609 零日漏洞,最早的主动利用迹象可以追溯到 2022年 1 月 4 日。
参考文章:https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK