Chrome 102 更新补丁高危漏洞

谷歌本周宣布发布 Chrome 浏览器更新，解决了 7 个漏洞，其中包括外部研究人员报告的 4 个问题。

跟踪为 CVE-2022-2007，这些错误中的第一个被描述为 WebGPU 中的 use-after-free。安全漏洞由 David Manouchehri 报告，他因发现而获得了 10,000 美元的漏洞赏金奖励。

当程序在释放内存分配后未清除指针时会触发 Use-after-free 问题，并且可被利用用于任意代码执行、拒绝服务或数据损坏，如果与其他漏洞结合使用，则可能导致系统受损. 对于 Chrome，它们通常会导致沙盒逃逸。

此 Chrome 更新解决的另一个释放后使用漏洞是 CVE-2022-2011，该漏洞在 Chrome 的图形引擎抽象层 ANGLE 中发现。这个错误是由 SeongHwan Park 报告的。

最新的 Chrome 更新还解决了 CVE-2022-2008，这是 WebGL 中的越界内存访问，由 VinCSS 网络安全研究员 Tran Van Khang 报告。

谷歌表示尚未确定为这两个漏洞支付的漏洞赏金金额。

此浏览器更新解决的第四个外部报告漏洞是 CVE-2022-2010，这是一个合成中的越界读取，由 Google Project Zero 的 Mark Brand 报告。根据 Google 的政策，研究人员不会获得漏洞赏金。

最新的 Chrome 迭代现在作为版本 102.0.5005.115 向 Windows、Mac 和 Linux 用户推出。

谷歌没有提到任何这些漏洞在野外被利用，但建议用户尽快更新他们的浏览器。

今年到目前为止，已知三个 Chrome 漏洞已在攻击中被利用。

原文始发于微信公众号（祺印说信安）：Chrome 102 更新补丁高危漏洞