目录导航
谷歌周四(2022年4月14日)发布了紧急补丁,以解决其 Chrome 网络浏览器中的两个安全问题,据称其中一个正在被广泛利用。
这家科技巨头被追踪为CVE-2022-1364,将这个高度严重的漏洞描述为 V8 JavaScript 引擎中的类型混淆。Google 威胁分析小组的 Clément Lecigne 在 2022 年 4 月 13 日报告了该漏洞。
与积极利用零日漏洞的典型情况一样,该公司承认它“意识到 CVE-2022-1364 的漏洞利用在野外存在。” 有关该漏洞和威胁参与者身份的其他详细信息已被隐瞒,以防止进一步滥用。
自今年年初以来,谷歌已通过最新修复修复了 Chrome 中的三个零日漏洞。这也是 V8 中第二个在不到一个月的时间内消除的与混淆相关的错误
- CVE-2022-0609 – 动画中的释放后使用
- CVE-2022-1096 – V8 中的类型混淆
Google公告详情
Windows、Mac 和 Linux的稳定版频道已更新为 100.0.4896.127 ,将在未来几天/几周内推出。
日志中提供了此构建中更改的完整列表。有兴趣切换发布渠道吗?在这里了解如何。如果您发现新问题,请通过提交错误通知我们。社区帮助论坛也是寻求帮助或了解常见问题的好地方。
安全修复和奖励
注意:在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。
此更新包括2 个安全修复程序。下面,我们重点介绍由外部研究人员提供的修复。请参阅Chrome 安全页面了解更多信息。
[$NA][ 1315901 ]高CVE-2022-1364:V8 中的类型混淆。由 Google 威胁分析小组的 Clément Lecigne 于 2022-04-13 报告
我们还要感谢在开发周期中与我们合作的所有安全研究人员,以防止安全漏洞到达稳定通道。
Google 知道 CVE-2022-1364 的漏洞利用在野外存在。像往常一样,我们正在进行的内部安全工作负责广泛的修复:
- [ 1316420 ] 来自内部审计、模糊测试和其他举措的各种修复
我们的许多安全漏洞都是使用AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer或AFL检测的。
修复建议
建议用户更新到适用于 Windows、Mac 和 Linux 的版本 100.0.4896.127 以阻止潜在威胁。还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复可用时应用这些修复。
基于安全考虑,谷歌只会在大部分用户更新后才会披露漏洞的全部细节。通常此类漏洞可用于执行任意代码或逃离浏览器的安全沙箱,感兴趣的研究人员可以等待 Google 后续披露。
CVE-2022-1364 是谷歌自年初以来在 Chrome 中解决的第三个零日漏洞,第一个是 CVE-2022-0609,这是动画组件中的一个释放后使用漏洞,已于 2 月 14 日修补,第二个是 CVE-2022-1096,这是 V8 中的类型混淆,已于 2022 年 3 月 25 日修复。
谷歌浏览器的用户可以进入设置的关于页面,可以看到当前的版本号,可以自动查看最新版本。如果用户部署在线安装包,可以自动更新。如果用户部署离线安装包,用户需要手动下载新版本进行升级。
转载请注明出处及链接