内容简介:Google已经为Windows、Mac和Linux用户发布了Chrome99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:"Google已经得知CVE-2022-1096的一个漏洞存在于外部。"
Google已经为Windows、Mac和 Linux 用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:"Google已经得知CVE-2022-1096的一个漏洞存在于外部。"
99.0.4844.84版本已经在稳定的桌面频道中向全球推出,整个用户群完成更新可能需要一个星期。进入Chrome菜单>帮助>关于Google浏览器检查新的更新时,这个更新立即可用。该网络浏览器还将自动检查新的更新,并在下次启动后自动安装。
今天修复的零日漏洞(被追踪为CVE-2022-1096)是一个匿名安全研究员报告的Chrome V8 JavaScript引擎中的高严重性类型混淆缺陷。
虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。
即使Google说它在外部检测到利用这一零日的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。
"对错误细节和链接的访问可能会保持限制,直到大多数用户得到修复的更新,"Google说。"如果该错误存在于其他项目同样依赖的第三方库中,但尚未修复,我们也将保留信息披露的限制。"
在浏览器供应商发布更多信息之前,Google浏览器用户应该有足够的时间来升级Chrome浏览器并防止恶意攻击者利用它的企图。
通过这次更新,Google解决了自2022年开始的第二个Chrome零日漏洞,另一个(追踪号为CVE-2022-0609)在上个月打了补丁。
Google威胁分析小组(TAG)透露,朝鲜政府支持的黑客在2月补丁公布前几周就利用了CVE-2022-0609零日,最早的主动利用迹象是在2022年1月4日发现的。
由朝鲜政府支持的两个独立的威胁集团在通过钓鱼邮件推送恶意软件的活动中利用了这个零日漏洞,这些钓鱼邮件使用虚假的工作诱饵和被破坏的网站托管隐藏的iframe来提供一个利用 工具 包。
研究人员解释说:"这些电子邮件包含欺骗合法求职网站的链接,如Indeed和ZipRecruiter。在其他情况下,我们已经观察到假网站--它被设置为分发木马化的加密货币应用程序--托管iframes并将其访问者指向漏洞工具包。"
以上所述就是小编给大家介绍的《Google Chrome 99.0.4844.84紧急更新修复了已被利用的零日漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- struts2架构网站漏洞修复详情与利用漏洞修复方案
- 如何做好漏洞管理的漏洞修复工作
- phpcms网站漏洞修复之远程代码写入缓存漏洞利用
- 系统漏洞及修复汇总
- 中间件漏洞及修复汇总
- WEB应用漏洞及修复汇总
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
