聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
谷歌發布適用於Windows、Mac和Linux 用戶的Chrome 105.0.5195.102 版本,修復已遭利用的高危漏洞 (CVE-2022-3075),它是今年以來谷歌修復的第六個已遭利用的0day。
谷歌在上周五發布安全公告指出,「谷歌發現CVE-2022-3075的exploit已在野。」
該新版本在桌面穩定版頻道推出,谷歌表示將在數天或數周的時間內推送給所有用戶。
Chrome 瀏覽器將在瀏覽器下次啟動時自動檢查是否存在新的安全更新。
谷歌剛修復的0day (CVE-2022-3075) 是因運行時庫 Mojo的數據驗證不充分造成的高危漏洞。Mojo 供信息在任意跨進程和進程內部邊界傳遞。
谷歌表示,該漏洞是由一名匿名研究員發現並報告的。
儘管谷歌表示該0day已遭在野利用,但並未共享技術詳情或更多信息。谷歌表示,「在多數用戶更新後才會公開漏洞詳情和鏈接。如果漏洞存在於其它項目也依賴的但尚未修復的第三方庫中,則我們將保留漏洞詳情和鏈接的限制條件。」
通過延遲對這些攻擊信息的發布,谷歌很可能是為了使Chrome 用戶擁有足夠的更新時間並阻止威脅行動者的利用嘗試。
這已經是谷歌自2022年以來修復的第六個 Chrome 0day。
谷歌此前修復的五個 Chrome 0day 包括:
CVE-2022-2856(8月17日修復)
CVE-2022-2294(7月4日修復)
CVE-2022-1364(4月14日修復)
CVE-2022-1096(3月25日修復)
CVE-2022-0609(2月14日修復)
谷歌威脅分析團隊在2月份表示,CVE-2022-0609 修復前已遭朝鮮黑客利用。另外,最早的漏洞利用跡象發生在1月早期。黑客使用虛假招聘信息和託管着用於提供利用包的隱藏嵌入式框架的受陷站點,發送釣魚郵件,推送惡意軟件。
鑑於該0day漏洞已遭在野利用,因此強烈建議用戶儘快更新至Chrome 最新版本。
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表