谷歌发布紧急Chrome更新以修补零日漏洞CVE-2022-1364

谷歌发布紧急Chrome更新以修补零日漏洞CVE-2022-1364

谷歌周四(2022年4月14日)发布了紧急补丁,以解决其 Chrome 网络浏览器中的两个安全问题,据称其中一个正在被广泛利用。

这家科技巨头被追踪为CVE-2022-1364,将这个高度严重的漏洞描述为 V8 JavaScript 引擎中的类型混淆。Google 威胁分析小组的 Clément Lecigne 在 2022 年 4 月 13 日报告了该漏洞。

与积极利用零日漏洞的典型情况一样,该公司承认它“意识到 CVE-2022-1364 的漏洞利用在野外存在。” 有关该漏洞和威胁参与者身份的其他详细信息已被隐瞒,以防止进一步滥用。

自今年年初以来,谷歌已通过最新修复修复了 Chrome 中的三个零日漏洞。这也是 V8 中第二个在不到一个月的时间内消除的与混淆相关的错误

谷歌发布紧急Chrome更新以修补零日漏洞CVE-2022-1364

Google公告详情

Windows、Mac 和 Linux的稳定版频道已更新为 100.0.4896.127 ,将在未来几天/几周内推出。

日志中提供了此构建中更改的完整列表。有兴趣切换发布渠道吗?在这里了解如何。如果您发现新问题,请通过提交错误通知我们。社区帮助论坛也是寻求帮助或了解常见问题的好地方。

安全修复和奖励

注意:在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。

此更新包括2 个安全修复程序。下面,我们重点介绍由外部研究人员提供的修复。请参阅Chrome 安全页面了解更多信息。

[$NA][ 1315901 ]CVE-2022-1364:V8 中的类型混淆。由 Google 威胁分析小组的 Clément Lecigne 于 2022-04-13 报告

我们还要感谢在开发周期中与我们合作的所有安全研究人员,以防止安全漏洞到达稳定通道。

Google 知道 CVE-2022-1364 的漏洞利用在野外存在。像往常一样,我们正在进行的内部安全工作负责广泛的修复:

  • [ 1316420 ] 来自内部审计、模糊测试和其他举措的各种修复


我们的许多安全漏洞都是使用AddressSanitizerMemorySanitizerUndefinedBehaviorSanitizerControl Flow IntegritylibFuzzerAFL检测的。

谷歌发布紧急Chrome更新以修补零日漏洞CVE-2022-1364

修复建议

建议用户更新到适用于 Windows、Mac 和 Linux 的版本 100.0.4896.127 以阻止潜在威胁。还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复可用时应用这些修复。

基于安全考虑,谷歌只会在大部分用户更新后才会披露漏洞的全部细节。通常此类漏洞可用于执行任意代码或逃离浏览器的安全沙箱,感兴趣的研究人员可以等待 Google 后续披露。

CVE-2022-1364 是谷歌自年初以来在 Chrome 中解决的第三个零日漏洞,第一个是 CVE-2022-0609,这是动画组件中的一个释放后使用漏洞,已于 2 月 14 日修补,第二个是 CVE-2022-1096,这是 V8 中的类型混淆,已于 2022 年 3 月 25 日修复。

谷歌浏览器的用户可以进入设置的关于页面,可以看到当前的版本号,可以自动查看最新版本。如果用户部署在线安装包,可以自动更新。如果用户部署离线安装包,用户需要手动下载新版本进行升级。

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。