谷歌紧急修复今年已遭利用的第9个0day
编译:代码卫士
该漏洞是位于V8 JavaScript引擎中的一个类型混淆漏洞,是由谷歌威胁分析团队 (TAG) 在2022年11月29日报告的。
类型混淆漏洞可用于执行带外内存访问,从而导致崩溃和任意代码执行后果。美国国家漏洞库 (NVD) 指出,该漏洞导致“远程攻击者通过构造的HTML页面利用堆损坏后果。”
谷歌证实称该漏洞已遭利用,但并未分享更多详情。
CVE-2022-4262是谷歌今年以来修复的已遭利用的第4个类型混淆漏洞,也是今年修复的第9个Chrome 0day:
CVE-2022-0609:Animation 中的释放后使用漏洞
CVE-2022-1096:V8中的类型混淆漏洞
CVE-2022-1364:V8中的类型混淆漏洞
CVE-2022-2294:WebRTC中的堆缓冲区溢出漏洞
CVE-2022-2856:Intents 中的不受信任输入验证不充分漏洞
CVE-2022-3075:Mojo 中的数据验证不充分漏洞
CVE-2022-3723:V8中的类型混淆漏洞
CVE-2022-4135:GPU中的堆缓冲区溢出漏洞
建议macOS 和 Linux 用户升级至版本108.0.5359.94,Windows 用户升级至108.0.5359.94/.95版本;基于 Chromium 浏览器如微软Edge、Brave、Opera和 Vivaldi 用户也应及时更新版本。
谷歌紧急修复已遭利用的Chrome 0day
谷歌决定不修复这个Chromium浏览器XSS漏洞
偶然发现谷歌Pixel手机锁屏漏洞,获奖7万美元
https://thehackernews.com/2022/12/google-rolls-out-new-chrome-browser.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。