谷歌已经为 Windows、Mac 和 Linux 用户发布了 Chrome 105.0.5195.102,以解决一个高严重性的安全漏洞,这是今年修补的攻击中被利用的第六个 Chrome 零日漏洞。
“谷歌知道有报道称 CVE-2022-3075 漏洞在野外存在,”该公司 在周五发布的安全公告中表示。
这个新版本正在稳定桌面频道推出,谷歌表示它将在几天或几周内覆盖整个用户群。
当 BleepingComputer 通过进入 Chrome 菜单 > 帮助 > 关于 Google Chrome 检查新更新时,它立即可用。
Web 浏览器还将自动检查新更新并在下次启动后自动安装它们。
没有可用的开发细节
今天修复的零日漏洞 ( CVE-2022-3075 ) 是一个高度严重的漏洞,由 Mojo 中的数据验证不足引起, Mojo是一组运行时库,有助于跨任意进程间和进程内边界传递消息。
谷歌表示,这个安全问题是由一位选择匿名报告的安全研究人员发现的。
尽管浏览器供应商表示零日漏洞已被广泛利用,但尚未分享有关这些事件的技术细节或信息。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制,”谷歌补充道。
“如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”
通过延迟发布有关这些攻击的更多信息,谷歌可能旨在为 Chrome 用户提供足够的时间来更新和防止利用尝试,直到更多的威胁参与者创建自己的攻击来部署攻击。
2022 年修复的第六个 Chrome 零日漏洞
在此版本中,Google 发布了安全更新,以解决自年初以来的第六个 Chrome 零日补丁。
2022 年发现并修补的前五个零日漏洞是:
CVE-2022-2856 – 8 月 17 日
CVE-2022-2294 – 7 月 4 日
CVE-2022-1364 – 4 月 14 日
CVE-2022-1096 – 3 月 25 日
CVE-2022-0609 – 2 月 14 日
正如谷歌威胁分析小组 (TAG) 于 2 月披露的那样,CVE-2022-0609在 2 月补丁发布前几周就被朝鲜支持的国家黑客利用了 。此外,最早的剥削迹象是在一月初发现的。
该漏洞在通过网络钓鱼电子邮件推送恶意软件的活动中被滥用,该活动使用虚假工作诱饵和托管隐藏 iframe 服务漏洞工具包的受感染网站。
鉴于今天修补的零日漏洞也已知已被野外攻击者利用,强烈建议尽快升级谷歌 Chrome 网络浏览器。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 谷歌Chrome紧急更新修复了攻击中使用的新零日漏洞
