【漏洞通告】Google Chrome V8类型混淆漏洞（CVE-2022-1364）

0x00 漏洞概述

CVE   ID	CVE-2022-1364	发现时间	2022-04-14
类    型	类型混淆	等    级	高危
远程利用		影响范围
攻击复杂度		用户交互
PoC/EXP		在野利用	是

 

0x01 漏洞详情

4月14日，Google发布了适用于 Windows、Mac 和 Linux 的 Chrome 版本100.0.4896.127，修复了Chrome中已检测到在野利用的0 day漏洞（CVE-2022-1364）。

该漏洞为Chrome V8 JavaScript 引擎中的类型混淆漏洞，此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。鉴于此漏洞正在被积极利用，建议Chrome用户尽快自查更新。

该漏洞是2022年以来Google 第三次修复Chrome 0 day漏洞：

CVE-2022-1364 ：4 月 14 日

CVE-2022-1096 ：3 月 25 日

CVE-2022-0609 ：2 月 14 日

 

影响范围

Chrome版本 < 100.0.4896.127

 

0x02 安全建议

目前此漏洞已在Chrome版本100.0.4896.127中修复，Chrome用户可以通过手动检查新更新（Chrome 菜单 > 帮助 > 关于Google Chrome）并重启浏览器。

下载链接：

https://www.google.cn/chrome/

 

0x03 参考链接

https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

https://twitter.com/ShaneHuntley/status/1514719656619114506

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/

 

0x04 版本信息

版本	日期	修改内容
V1.0	2022-04-15	首次发布

 

0x05 附录

公司简介

启明星辰公司成立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设有分支机构，拥有覆盖全国的渠道体系和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号，获取全球最新安全资讯：

 

原文始发于微信公众号（维他命安全）：【漏洞通告】Google Chrome V8类型混淆漏洞（CVE-2022-1364）