谷歌已发布 Chrome 桌面网络浏览器的紧急安全更新,以解决已知可在攻击中利用的单个漏洞。
高严重性缺陷 (CVE-2022-3723) 是 Chrome V8 Javascript 引擎中的一个类型混淆错误,由 Avast 的分析师发现并向 Google 报告。
“谷歌知道有报道称 CVE-2022-3723 漏洞在野外存在,”通知强调。
出于安全原因,该公司没有提供有关该漏洞的许多详细信息,从而使 Chrome 的用户群有足够的时间将网络浏览器更新到版本 107.0.5304.87/88,从而解决了该问题。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制,”谷歌表示。
“如果漏洞存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保留限制。”
通常,当程序使用类型分配资源、对象或变量,然后使用不同的、不兼容的类型访问它时,就会出现类型混淆漏洞,从而导致内存访问越界。
通过访问不应从应用程序上下文访问的内存区域,攻击者可以读取其他应用程序的敏感信息、导致崩溃或执行任意代码。
谷歌没有说明涉及该漏洞的活动程度,因此目前尚不清楚使用 CVE-2022-3723 的攻击是广泛还是有限。
Chrome 用户可以通过打开设置 → 关于 Chrome → 等待下载完成 → 重新启动程序来更新他们的浏览器。
今年修复的第七个 Chrome 零日漏洞
版本 107.0.5304.87/88 修复了自年初以来修复的第七个零日漏洞。
前六个是:
- CVE-2022-3075 – 9 月 2 日
- CVE-2022-2856 – 8 月 17 日
- CVE-2022-2294 – 7 月 4 日
- CVE-2022-1364 – 4 月 14 日
- CVE-2022-1096 – 3 月 25 日
- CVE-2022-0609 – 2 月 14 日
在某些情况下,例如 CVE-2022-0609,这些漏洞在谷歌发现并修补它们之前被国家支持的威胁攻击者利用 了几周。
因此,强烈建议 Chrome 用户尽快更新其网络浏览器以阻止利用尝试
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 谷歌修复了今年在攻击中被利用的第七个 Chrome 零日漏洞
