谷歌浏览器紧急更新,又修复一零日漏洞
2022-4-15 11:42:28 Author: www.freebuf.com(查看原文) 阅读量:22 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。

1649994218_6258e9ea48559a2666f73.png!small?1649994222479

谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。

1649994225_6258e9f12d5fb02979312.png!small?1649994225370

谷歌浏览器更新

谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。

披露的几个漏洞细节

据悉,谷歌新修复的零日漏洞追踪为 CVE-2022-1364,是 Chrome V8 JavaScript 引擎中一个高严重性类型混淆漏洞,由谷歌威胁分析小组成员 Clément Lecigne 发现。

根据以往经验来看,攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。漏洞披露不久后,谷歌方面表示,安全研究人员已经检测到利用该零日漏洞的网络攻击行为,但是没有提供关于网络攻击活动的具体细节。

另外,谷歌强调,对漏洞细节和链接的访问可能会一直受到限制,直到大多数用户应用更新版本。值得一提的是,CVE-2022-1364 是本次更新中唯一披露的漏洞,侧面说明为了解决这个问题,谷歌紧急推出了Chrome 100.0.4896.127版本。

今年修复的第三个 Chome 零日

加上此次更新,2022 年,谷歌已经解决了三个 Chrome 零日漏洞,下面列出了今年发现的另外两个漏洞 。

CVE-2022-1096 - 3月25日

CVE-2022-0609 - 2月14日

参考文章:

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/


文章来源: https://www.freebuf.com/news/329068.html
如有侵权请联系:admin#unsafe.sh