谷歌紧急修复已遭在野利用的0day
编译:代码卫士
谷歌发布 Windows、Mac 和 Linux 版本的 Chrome 100.0.4896.127,修复已遭利用的高危0day漏洞(CVE-2022-1364)。
谷歌发布安全公告指出,“谷歌发现在野存在 CVE-2022-1364的exploit。”虽然谷歌表示将在未来几周内推出该 Chrome 更新,但用户可立即通过 Chrome 目录>帮助>关于谷歌 Chrome 立即获取。Chrome 浏览器也将自动检查新的更新并在用户下次重启时安装。
由于该漏洞已遭在野利用,因此强烈建议用户手动检查新的更新并重启浏览器应用该更新。
紧急修复的该0day 是位于 Chrome V8 JavaScript 引擎中的高危类型混淆弱点。
虽然一般而言,攻击者会通过读或写界外内存,利用这类类型混淆缺陷导致浏览器崩溃,但攻击者也可利用它们执行任意代码。该漏洞是由谷歌威胁分析团队的研究员 Clément Lecigne 发现并报告的。
虽然谷歌表示已检测到利用该 0day 的攻击活动,但并未提供更多详情。谷歌指出,“访问漏洞详情和链接会在多数用户更新后发布。”
这是谷歌在本次安全更新中披露的唯一一个漏洞,表明 Chrome 100.0.4896.127是紧急推出的新版本。
这是 Chrome 自2022年以来修复的第三个 Chrome 0day 漏洞,此前的两个0day 分别是2月14日和3月25日公布的CVE-2022-0609和CVE-2022-1096。
鉴于CVE-2022-1364已遭利用,因此强烈建议尽快更新至 Chrome 最新版本。
谷歌:早在这个0day 补丁发布前几周,朝鲜国家黑客就已利用
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。