Chrome被爆嚴重零日漏洞,谷歌督促用戶盡快更新
近期,谷歌發布公告,稱已經為Windows用戶發布了Chrome 103.0.5060.114更新,以解決在野被攻擊者利用的高嚴重性零日漏洞,這也是2022年谷歌修補的第四個 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范圍內的Stable Desktop頻道推出,谷歌表示它需要幾天或幾周的時間才能觸達整個用戶群。
按照提示,BleepingComputer進入Chrome 菜單>幫助>關于 Google Chrome 檢查新更新時,發現更新立即可用。同時Web瀏覽器還將自動檢查新更新并在下次啟動后自動安裝它們。
上周五,Avast威脅情報團隊的Jan Vojtesek報告說,近期修復的零日漏洞(編號為CVE - 222 -2294)是WebRTC (Web實時通信)組件中一個嚴重的基于堆的緩沖區溢出漏洞。
盡管谷歌表示這個零日漏洞在野被利用,但該公司尚未分享技術細節或有關這些事件的任何信息。谷歌表示:“在大多數用戶更新修復之前,對錯誤詳細信息和鏈接的訪問可能會受到限制。如果漏洞存在于第三方中,在尚未修復之前,我們也會保留限制。”由于有關攻擊的詳細信息延遲發布,Chrome用戶有足夠的時間來更新和防止利用嘗試,直到 Google 提供更多詳細信息。
通過此次更新,谷歌解決了自年初以來的第四次 Chrome 零日問題,而在這之前發現并修補的前三個零日漏洞分別是:
- CVE-2022-1364 - 4 月 14 日
- CVE-2022-1096 - 3 月 25 日
- CVE-2022-0609 - 2 月 14 日
根據谷歌威脅分析組 (TAG)的說法,2月份修復的CVE-2022-0609在2月補丁發布前幾周被朝鮮支持的國家黑客利用,最早的在野漏洞利用是在今年1月4日發現的。它被兩個朝鮮資助的威脅組織所利用,并通過網絡釣魚郵件、使用虛假的工作誘餌和提供隱藏iframes服務的網站來傳播惡意軟件。最后,對于此次漏洞,谷歌方面建議用戶盡快安裝最新的谷歌瀏覽器更新。
