聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
上周五,美国网络安全和基础设施局 (CISA) 督促用户和管理员更新谷歌在上周发布的Chrome 新版本,修复Chrome 浏览器中的七个漏洞。
谷歌在安全公告中说明了四个高风险漏洞,其中三个是由外部研究员报告的。谷歌表示因为大多数用户尚未更新到最新版本 Chrome 102.0.5005.115,因此决定限制对漏洞详情的访问。
CVE-2022-2007 是一个位于 WebGPU 应用编程接口中的释放后使用漏洞,可遭远程利用,影响受影响系统的机密性、完整性和可用性。VulDB 指出,“无需任何形式的认证即可利用,它要求与受害者有一些用户交互。”
谷歌向发现并报告该漏洞的研究员颁发了10000美元的奖励。VulDB 表示,该漏洞的exploit 价格目前在5000到2.5万美元之间,不过后续价格可能会上涨。
谷歌修复的其它三个高危漏洞是:
CVE-2022-2008:位于 WebGL 中的界外内存访问漏洞,可导致攻击者读取敏感信息。
CVE-2022-2010:位于Chrome 混合组件中的界外读漏洞。
CVE-2022-2011:位于Chrome 后端的开源跨平台图形引擎抽象层 ANGLE 中的界外读漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.darkreading.com/vulnerabilities-threats/cisa-encourages-organizations-to-updated-to-latest-chrome-version
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
