谷歌发布 Chrome 103 修补 14 个漏洞

谷歌本周宣布将 Chrome 103 发布到稳定频道，并为总共 14 个漏洞提供补丁，其中包括外部研究人员报告的 9 个漏洞。

这些错误中最严重的是 CVE-2022-2156，它在 Base 中被描述为一个严重严重的 use-after-free 问题。

该安全漏洞由 Google Project Zero 的 Mark Brand 发现。根据 Google 的政策，不会为此漏洞发放漏洞赏金奖励。

导致任意代码执行、数据损坏或拒绝服务，当程序释放内存分配但之后没有清除指针时，会触发 use-after-free 缺陷。

如果与其他安全漏洞相结合，释放后使用错误可能会导致整个系统受损。在 Chrome 中，通常可以利用它们来逃避浏览器的沙箱。

Chrome 103 解决了外部研究人员发现的其他三个释放后使用漏洞，影响了兴趣组（CVE-2022-2157，高严重性）、WebApp Provider（CVE-2022-2161，中等严重性）和 Cast UI 等组件，以及工具栏（CVE-2022-2163，低严重性）。

最新的 Chrome 更新还解决了 V8 JavaScript 和 WebAssembly 引擎中一个外部报告的高严重性类型混淆缺陷 (CVE-2022-2158)，以及其他四个中等和低严重性问题。

谷歌表示，它已向报告的研究人员支付了总计 44,000 美元的漏洞赏金奖励。这家互联网巨头没有提及在攻击中利用的任何这些漏洞。

最新的 Chrome 版本目前正在向 Windows、Mac 和 Linux 用户推出 103.0.5060.53 版本。

原文始发于微信公众号（河南等级保护测评）：谷歌发布 Chrome 103 修补 14 个漏洞