漏洞名称:
Google Chrome 代码执行漏洞
组件名称:
Google Chrome
影响范围:
Google Chrome for Android < 104.0.5112.97
漏洞类型:
远程代码执行
利用条件:
1、用户认证:不需要用户认证
2、前置条件:需要用户访问恶意网页
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成远程代码执行。
漏洞分析
组件介绍
Google Chrome 是由 Google 开发的一款设计简单、高效的 Web 浏览工具,特点是简洁、快速。Google Chrome 支持多标签浏览,默认情况下,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。
此外,Google Chrome 基于更强大的 JavaScript V8引擎,提升浏览器的处理速度。
漏洞简介
近日,深信服安全团队监测到一则 Google Chrome 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2022-2856,漏洞威胁等级:高危。
该漏洞是由于 Intents 对不可信输入数据的验证不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码攻击,最终获取服务器最高权限。
影响范围
Google Chrome 几乎可以运行在所有计算机平台上,其由于跨平台和安全性被广泛使用,成为最流行的浏览器软件之一。Google Chrome 在中国浏览器市场占有率最高,拥有广泛的用户基础。
目前受影响的 Google Chrome 版本:
Google Chrome for Android < 104.0.5112.97
解决方案
1.如何检测组件版本
首先打开 Google Chrome 软件,单击右上角三个点,之后点击设置,在设置中点击 ‘关于Chrome’,在‘关于Chrome’ 中可以看到 Chrome 相关的版本。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://chromereleases.googleblog.com/2022/08/chrome-for-android-update_17.html
参考链接
https://chromereleases.googleblog.com/2022/08/chrome-for-android-update_17.html
时间轴
2022/8/16
深信服监测到 Google Chrome 官方发布安全通告。
2022/8/16
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Google Chrome 代码执行漏洞CVE-2022-2856
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论