安全專家敦促 Chrome 用戶立即修補新的零日漏洞


剛才發生了什麼? 谷歌剛剛發布了一個緊急安全更新,以修補 Chrome 網絡瀏覽器中一個新發現的漏洞。 基於緩衝區溢出的漏洞利用是由 Google 威脅分析小組 (TAG) 的成員 Clément Lecigne 發現的。 谷歌承認了這個問題,並承諾在補丁廣泛部署之前不提供有關該漏洞的更多細節。

新漏洞,分類為 CVE-2022-4135是一個 堆緩衝區溢出 GPU 中的問題可能導致惡意行為者未經授權訪問信息、導致應用程序不穩定或可能提供在目標機器上執行任意代碼的權限。

谷歌的 TAG 承認了最近部署的穩定頻道更新中的漏洞,該更新旨在防止進一步利用。 Google 工程師更新了適用於 Mac 和 Linux 系統的穩定頻道 107.0.5304.121 以及適用於基於 Windows 的系統的頻道 107.0.5304.121/.122。 可以在 Chromium 的發布中找到所有相關更新和發行說明的列表 日誌.

這一發現標誌著這家軟件巨頭在 2022 年出現了第八個零日漏洞。之前修復的漏洞包括:

堆溢出可以為攻擊者提供在應用程序中增加功能指針的能力,而不是將它們指向任意部署的惡意代碼。 該條件是系統內存的堆部分中緩衝區覆蓋的結果。

谷歌決定不立即分享漏洞利用的詳細信息是一種標準做法,旨在最大限度地減少漏洞的使用和影響。 通過減緩對漏洞細節的理解和認識,用戶有更多時間在漏洞被利用之前修補和更新他們的瀏覽器。 它還為大量使用的第三方庫的開發人員提供了修補漏洞的能力,進一步限制了可利用性。

“在大多數用戶更新修復程序之前,對錯誤詳細信息和鏈接的訪問可能會受到限制。如果錯誤存在於其他項目同樣依賴但尚未修復的第三方庫中,我們也將保留限制” – Prudhvikumar Bommana

建議 Chrome 用戶盡快更新他們的瀏覽器,並應在發布後監視任何其他基於 Chromium 的瀏覽器是否有類似的更新。

發佈留言