聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
當使用與原始初始化不兼容的類型訪問某種資源(如變量或對象)時會觸發類型混淆錯誤,從而在內存不安全的語言如 C和C++ 中造成嚴重後果,使惡意人員執行界外內存訪問。
MITRE CWE 解釋稱,「當使用錯誤的類型訪問內存緩衝區時,它可讀或寫該緩衝區界外的內存,如果所分配緩衝區小於代碼試圖訪問的類型,則可導致崩潰甚至代碼執行。」
谷歌證實稱「CVE-2022-1096的exploit 已在野存在」,但為了阻止進一步的利用,方便大部分用戶更新,谷歌並未提供更多詳情。
CVE-2022-1096 是谷歌今年依賴修復的第二個 Chrome 0day,第一個是CVE-2022-0609,它是位於Animation 組件中的釋放後使用漏洞,在2022年2月14日修復。
上周早些時候,谷歌 TAG 團隊詳述了朝鮮國家黑客組織發動的攻擊活動,它們利用CVE-2022-0609 攻擊位於美國的組織機構,遍布新聞媒體、IT、密幣和金融技術行業。
強烈建議Chrome 用戶更新至 Windows、Mac和Linux 的最新版本99.0.4844.84。建議使用基於 Chromium 瀏覽器如 Microsoft Edge、Opera 和 Vivaldi 的用戶屆時儘快應用修複方案。
谷歌:早在這個0day 補丁發布前幾周,朝鮮國家黑客就已利用
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍
谷歌Chrome 緊急修復已遭利用的0day
谷歌:修復0day漏洞的平均耗時比3年前減少28天
谷歌詳述 Zoom 客戶端和MMR 服務器中的兩個0day
https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表