聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌发布适用于Windows、Mac和Linux 用户的Chrome 105.0.5195.102 版本,修复已遭利用的高危漏洞 (CVE-2022-3075),它是今年以来谷歌修复的第六个已遭利用的0day。
谷歌在上周五发布安全公告指出,“谷歌发现CVE-2022-3075的exploit已在野。”
该新版本在桌面稳定版频道推出,谷歌表示将在数天或数周的时间内推送给所有用户。
Chrome 浏览器将在浏览器下次启动时自动检查是否存在新的安全更新。
无利用详情
谷歌刚修复的0day (CVE-2022-3075) 是因运行时库 Mojo的数据验证不充分造成的高危漏洞。Mojo 供信息在任意跨进程和进程内部边界传递。
谷歌表示,该漏洞是由一名匿名研究员发现并报告的。
尽管谷歌表示该0day已遭在野利用,但并未共享技术详情或更多信息。谷歌表示,“在多数用户更新后才会公开漏洞详情和链接。如果漏洞存在于其它项目也依赖的但尚未修复的第三方库中,则我们将保留漏洞详情和链接的限制条件。”
通过延迟对这些攻击信息的发布,谷歌很可能是为了使Chrome 用户拥有足够的更新时间并阻止威胁行动者的利用尝试。
2022年修复的第六个Chrome 0day
这已经是谷歌自2022年以来修复的第六个 Chrome 0day。
谷歌此前修复的五个 Chrome 0day 包括:
CVE-2022-2856(8月17日修复)
CVE-2022-2294(7月4日修复)
CVE-2022-1364(4月14日修复)
CVE-2022-1096(3月25日修复)
CVE-2022-0609(2月14日修复)
谷歌威胁分析团队在2月份表示,CVE-2022-0609 修复前已遭朝鲜黑客利用。另外,最早的漏洞利用迹象发生在1月早期。黑客使用虚假招聘信息和托管着用于提供利用包的隐藏嵌入式框架的受陷站点,发送钓鱼邮件,推送恶意软件。
鉴于该0day漏洞已遭在野利用,因此强烈建议用户尽快更新至Chrome 最新版本。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
间谍软件 Candiru 利用 Chrome 0day 攻击记者
原文链接
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
