谷歌修补了最新Chrome零日漏洞

admin 2022年7月6日10:54:39安全新闻评论29 views996字阅读3分19秒阅读模式

谷歌周一发布了安全更新,Chrome浏览器已经为Windows用户发布了Chrome103.0.5060.114,以解决攻击者在野外利用的高严重性零日漏洞,这是2022年修补的第四个Chrome零日漏洞。
“谷歌意识到CVE-2022-2294的漏洞在野外存在。”浏览器供应商在周一发布的安全公告中解释道。
103.0.5060.114版本正在全球范围内的稳定桌面频道中推出,谷歌表示它需要几天或几周的时间才能到达整个用户群。
当BleepingComputer通过进入Chrome菜单>帮助>关于Google Chrome检查新更新时,此更新立即可用。
Web浏览器还将自动检查新更新并在下次启动后自动安装它们。
谷歌修补了最新Chrome零日漏洞
攻击细节未透露
今天修复的零日漏洞(跟踪为CVE-2022-2294)是WebRTC(Web实时通信)组件中基于堆的高严重缓冲区溢出漏洞,Avast威胁情报团队的Jan Vojtesek周五报告,7月1
如果在攻击期间实现了代码执行,成功利用堆溢出的影响可以从程序崩溃和任意代码执行到绕过安全解决方案。尽管谷歌表示这个零日漏洞是在野外被利用的,但该公司尚未分享技术细节或有关这些事件的任何信息。
谷歌表示:在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。
由于有关攻击的更多信息延迟发布,Chrome用户应该有足够的时间来更新和防止利用尝试,直到Google提供更多详细信息。
今年第四个0day漏洞修复
通过此次更新,谷歌解决了自年初以来的第四次Chrome零日问题。
2022年发现并修补的前三个零日漏洞是:
  • CVE-2022-1364  - 4月14日
  • CVE-2022-1096  - 3月25日
  • CVE-2022-0609  - 2月14日
根据谷歌威胁分析组(TAG)的说法,2月份修复的CVE-2022-0609在2月补丁发布前几周被朝鲜支持的国家黑客利用。最早的野外开采迹象是在2022年1月4日发现的。
它被两个朝鲜赞助的威胁组织滥用,在通过网络钓鱼电子邮件推送恶意软件的活动中,使用虚假的工作诱饵和托管隐藏iframe的受感染网站来提供漏洞利用工具包。
因为已知今天的零日补丁已经被攻击者在野外使用,所以强烈建议尽快安装今天的谷歌浏览器更新。

谷歌修补了最新Chrome零日漏洞

原文始发于微信公众号(雾晓安全):谷歌修补了最新Chrome零日漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日10:54:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  谷歌修补了最新Chrome零日漏洞 http://cn-sec.com/archives/1160734.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: