谷歌发布了桌面版 Chrome 网络浏览器的紧急安全更新,解决了今年攻击中利用的第八个零日漏洞。
谷歌威胁分析小组的 Clement Lecigne 于 2022 年 11 月 22 日发现了该高危漏洞,编号为 CVE-2022-4135,是 GPU 中的堆缓冲区溢出。
“谷歌意识到 CVE-2022-4135 的漏洞存在于野外,”更新通知中写道。
由于用户需要时间在其 Chrome 安装上应用安全更新,谷歌已隐瞒有关该漏洞的详细信息,以防止扩大其恶意利用。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果错误存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保留限制。 “ –谷歌
通常,堆缓冲区溢出是一种内存漏洞,导致数据未经检查就被写入禁止(通常是相邻)位置。
攻击者可能会利用堆缓冲区溢出覆盖应用程序的内存来操纵其执行路径,从而导致不受限制的信息访问或任意代码执行。
建议 Chrome 用户升级到适用于 Windows 的版本 107.0.5304.121/122 和适用于 Mac 和 Linux 的 107.0.5304.122,它解决了 CVE-2022-4135。
要更新 Chrome,请转到设置 → 关于 Chrome → 等待最新版本的下载完成 → 重新启动程序。
Chrome 在 2022 年的第八次零日修复
Chrome 版本 107.0.5304.121/122 修复了今年第八个被积极利用的零日漏洞,表明攻击者对广泛使用的浏览器的浓厚兴趣。
之前的七个零日修复程序是:
- CVE-2022-3723 – 10 月 28 日
- CVE-2022-3075 – 9 月 2 日
- CVE-2022-2856 – 8 月 17 日
- CVE-2022-2294 – 7 月 4 日
- CVE-2022-1364 – 4 月 14 日
- CVE-2022-1096 – 3 月 25 日
- CVE-2022-0609 – 2 月 14 日
这些缺陷通常被老练的黑客利用,他们在高度针对性的攻击中使用它们。
尽管如此,强烈建议所有 Chrome 用户尽快更新他们的网络浏览器,以阻止潜在的利用尝试。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 谷歌推送紧急Chrome更新以修复2022年第8个零日漏洞
