Bleeping Computer 網(wǎng)站消息，谷歌發(fā)布了適用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127，以解決一個(gè)在野被利用高嚴(yán)重性零日漏洞(CVE-2022-1364)。

谷歌方面表示，Chrome 瀏覽器的更新版本將在未來(lái)幾周內(nèi)推出。目前，用戶可以進(jìn)入 Chrome 菜單>幫助>關(guān)于谷歌瀏覽器，立即收到更新。另外，瀏覽器也會(huì)自動(dòng)檢查更新，在用戶關(guān)閉和重新啟動(dòng)谷歌瀏覽器時(shí)安裝更新版本。

谷歌瀏覽器更新

谷歌方面強(qiáng)調(diào)，該漏洞正在被積極利用，強(qiáng)烈建議用戶手動(dòng)檢查更新并重新啟動(dòng)瀏覽器應(yīng)用新版本。

披露的幾個(gè)漏洞細(xì)節(jié)

據(jù)悉，谷歌新修復(fù)的零日漏洞追蹤為 CVE-2022-1364，是 Chrome V8 JavaScript 引擎中一個(gè)高嚴(yán)重性類型混淆漏洞，由谷歌威脅分析小組成員 Clément Lecigne 發(fā)現(xiàn)。

根據(jù)以往經(jīng)驗(yàn)來(lái)看，攻擊者可以通過(guò)類型混淆漏洞讀取或?qū)懭氤鼍彌_區(qū)范圍的內(nèi)存，導(dǎo)致瀏覽器系統(tǒng)崩潰。除此之外，攻擊者也可以利用該漏洞執(zhí)行任意代碼。漏洞披露不久后，谷歌方面表示，安全研究人員已經(jīng)檢測(cè)到利用該零日漏洞的網(wǎng)絡(luò)攻擊行為，但是沒(méi)有提供關(guān)于網(wǎng)絡(luò)攻擊活動(dòng)的具體細(xì)節(jié)。

另外，谷歌強(qiáng)調(diào)，對(duì)漏洞細(xì)節(jié)和鏈接的訪問(wèn)可能會(huì)一直受到限制，直到大多數(shù)用戶應(yīng)用更新版本。值得一提的是，CVE-2022-1364 是本次更新中唯一披露的漏洞，側(cè)面說(shuō)明為了解決這個(gè)問(wèn)題，谷歌緊急推出了Chrome 100.0.4896.127版本。

今年修復(fù)的第三個(gè) Chome 零日

加上此次更新，2022 年，谷歌已經(jīng)解決了三個(gè) Chrome 零日漏洞，下面列出了今年發(fā)現(xiàn)的另外兩個(gè)漏洞 ：

• CVE-2022-1096 - 3月25日
• CVE-2022-0609 - 2月14日

參考文章：

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/