奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Google Chrome 沙箱逃逸漏洞
公開時間
2022-09-02
更新時間
2022-09-03
CVE編號
CVE-2022-3075
其他編號
QVD-2022-13966
威脅類型
安全特性繞過
技術類型
數據驗證不恰當
廠商
產品
Chrome
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
未發現
未發現
已發現
未公開
漏洞描述
由於Mojo中不恰當的數據驗證,Google Chrome存在沙箱逃逸漏洞。攻擊者可通過多種方式誘導用戶訪問惡意的鏈接來利用此漏洞,成功利用此漏洞可繞過安全限制,實現沙箱逃逸。
影響版本
Google Chrome Desktop for Windows < 105.0.5195.102
Google Chrome Desktop for Linux < 105.0.5195.102
Google Chrome Desktop for Mac < 105.0.5195.102
不受影響版本
Google Chrome Desktop for Windows >= 105.0.5195.102
Google Chrome Desktop for Linux >= 105.0.5195.102
Google Chrome Desktop for Mac >= 105.0.5195.102
其他受影響組件
無
威脅評估
漏洞名稱
Google Chrome 沙箱逃逸漏洞
CVE編號
CVE-2022-3075
其他編號
QVD-2022-13966
CVSS 3.1評級
高危
CVSS 3.1分數
7.4
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
無
需要
影響範圍(S)
機密性影響(C)
改變
無
完整性影響(I)
可用性影響(A)
高
無
危害描述
攻擊者可利用此漏洞繞過安全限制,配合其他遠程代碼執行漏洞,可突破瀏覽器沙箱限制在目標系統上執行任意代碼。
處置建議
前官方已發布安全版本修復該漏洞,建議受影響用戶儘快更新:
https://www.google.cn/intl/zh-CN/chrome/update/
參考資料
[1]https://chromereleases.googleblog.com/search/label/Stable%20updates
時間線
2022年9月4日,奇安信 CERT發布安全風險通告
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表