网络安全和基础设施安全局 (CISA) 在其已知可在攻击中利用的漏洞列表中又增加了一个安全漏洞。
该缺陷(跟踪为 CVE-2022-4262)已于周五针对 Windows、Mac 和 Linux 用户作为 Google Chrome 网络浏览器中一个被积极利用的零日漏洞进行了修补。
在周末前发布的一份安全 公告中,谷歌表示它“知道有报道称 CVE-2022-4262 的漏洞存在于野外”。
这是谷歌自今年年初以来修补的第九个 Chrome 零日漏洞。
该错误是由谷歌威胁分析小组的 Clement Lecigne 报告的 Chromium V8 JavaScript 引擎中的高严重性类型混淆漏洞引起的。
尽管类型混淆缺陷通常会在通过读取或写入缓冲区边界外的内存成功利用后导致浏览器崩溃,但攻击者也可以利用它们来执行任意代码。
虽然该公司表示已检测到利用此零日漏洞的攻击,但尚未分享有关这些事件的技术细节或信息,这些事件可能会允许安全更新部署到所有受影响的系统,并为用户提供足够的时间来升级他们的浏览器,然后再进行更新攻击者开发自己的 CVE-2022-4262 漏洞。
联邦机构下令在未来三周内修补
根据 2021 年 11 月的 具有约束力的操作指令 (BOD 22-01),所有联邦文职行政分支机构 (FCEB) 机构现在都必须根据 CISA 提供的时间表针对此错误修补其系统。
在 12 月 26 日之前,他们有三周的时间来修补他们系统上所有易受攻击的 Chrome 安装,以确保阻止正在进行的利用尝试。
尽管 BOD 22-01 指令仅适用于美国 FCEB 机构,但国土安全部网络安全机构也 强烈敦促 来自私营和公共部门的所有美国组织优先修补这个被积极利用的漏洞。
将此建议牢记在心将有助于减少攻击面,威胁参与者可以利用这些攻击面试图破坏机构的网络。
美国网络安全机构解释说:“这些类型的漏洞是各种恶意网络行为者的常见攻击媒介,并对联邦企业构成重大风险 。 ”
自约束指令发布以来,CISA 已将数百个安全漏洞添加到其 已知被利用漏洞目录中,命令美国联邦机构尽快修补它们以阻止潜在的安全漏洞。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » CISA命令机构在12月26日之前修补被利用的Google Chrome漏洞
