据 Bleeping Computer 网站消息,谷歌发布适合 Windows、Mac 和 Linux 更新版本Chrome 99.0.4844.84,为了解决在野外使用的高严重性零日漏洞。
谷歌上周发布了一份安全公告,称研究人员在野外发现了一个高风险零日漏洞,追踪 CVE-2022-1096,为了解决漏洞问题,问题。Chrome 新版本 99.0.4844.84 已经向全球推出,覆盖整个用户群可能需要几周时间。
需要更新的用户可以进入 Chrome 菜单,查找谷歌浏览器更新版本。此外,网络浏览器还将自动检查新的更新,并在下次启动时自动安装。
未披露漏洞细节
据悉,零日漏洞(CVE-2022-1096)匿名安全人员发现是 Chrome V8 JavaScript 发动机的高严重类型混淆漏洞。
类型混淆漏洞通常会导致浏览器在成功使用后崩溃。攻击者也可以使用它们来执行任何代码,通过阅读或写入超过缓冲区的内存。
值得一提的是,尽管谷歌表示已经在野外发现了利用这一零天漏洞的攻击,但它并没有分享技术细节或其他关于这些事件的信息。
谷歌方面表示,公司会对用户访问错误的链接进行限制,直到大多数用户更新到最新版本。如果该漏洞存在于其他项目同样依赖的第三方库中,在尚未修复之前,也将保留限制。
今年修补了第二个 Chrome 零日漏洞
2022自年以来,谷歌已经发现并解决了 2 Chrome 零日漏洞,另一个漏洞追踪 CVE-2022-0609,补丁已于上个月发布。
CVE-2022-0609 零日漏洞是 Animation 是谷歌威胁分析小组的 Adam Weidemann 和 Clément Lecigne 报告。
谷歌威胁分析小组(TAG)透露,某些具有国家背景的黑客组织在补丁发布前几周,就已经利用了 CVE-2022-0609 零日漏洞,最早的主动使用迹象可追溯到 2022年 1 月 4 日。
参考文章:https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/