谷歌紧急修复已遭利用的新 0day
编译:代码卫士
当使用与原始初始化不兼容的类型访问某种资源(如变量或对象)时会触发类型混淆错误,从而在内存不安全的语言如 C和C++ 中造成严重后果,使恶意人员执行界外内存访问。
MITRE CWE 解释称,“当使用错误的类型访问内存缓冲区时,它可读或写该缓冲区界外的内存,如果所分配缓冲区小于代码试图访问的类型,则可导致崩溃甚至代码执行。”
谷歌证实称“CVE-2022-1096的exploit 已在野存在”,但为了阻止进一步的利用,方便大部分用户更新,谷歌并未提供更多详情。
CVE-2022-1096 是谷歌今年依赖修复的第二个 Chrome 0day,第一个是CVE-2022-0609,它是位于Animation 组件中的释放后使用漏洞,在2022年2月14日修复。
上周早些时候,谷歌 TAG 团队详述了朝鲜国家黑客组织发动的攻击活动,它们利用CVE-2022-0609 攻击位于美国的组织机构,遍布新闻媒体、IT、密币和金融技术行业。
强烈建议Chrome 用户更新至 Windows、Mac和Linux 的最新版本99.0.4844.84。建议使用基于 Chromium 浏览器如 Microsoft Edge、Opera 和 Vivaldi 的用户届时尽快应用修复方案。
谷歌:早在这个0day 补丁发布前几周,朝鲜国家黑客就已利用
https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。