close

Google Chrome緊急修復已遭濫用於攻擊的0-day高危險漏洞

Google 日前緊急推出新版 Google Chrome 瀏覽器版本 100.0.4896.127,修復一個證實已遭駭侵者濫用於資安攻擊的 0-day 漏洞 CVE-2022-1364;廣大 Google Chrome 用戶應立即升級至最新版本。

目前關於 CVE-2022-1364 這個漏洞的公開資訊並不多,僅知該漏洞存於 Google Chrome 的 V8 JavaScript 引擎內,屬於一種「類型混淆」(type confusion)漏洞;這種漏洞一旦發生,通常會導致瀏覽器崩潰,駭侵者進而可以讀寫超出緩衝區漏洞的記憶體內容,並且進一步執行任意程式碼。

該漏洞的 CVSS 危險程度評分為 8.8 分(滿分為 10 分),危險程度評級為「高」(high);本漏洞是由 Google 旗下的威脅分析小組資安專家 Clément Lecigne 發現並提報至 Google Chrome 團隊,該團隊在一天以內即推出了漏洞修復新版。

雖然 Google 在更新通報中指出,該公司已獲悉有駭侵團體使用此漏洞進行攻擊的情報,但 Google 認為應該要等多數用戶都完成更新後,再對外透露更詳細的資訊,因此目前對於此類攻擊的泛濫程度尚不得而知。

本 0-day 漏洞也是今(2022)年至今 Google Chrome 修復的第 3 個 0-day 漏洞。

鑑於 Google Chrome 是世界上占有率最高的瀏覽器,用戶數量眾多且跨及多個作業系統平台,因此用戶恐處於極大風險之下。包括 Windows、macOS、Linux 作業系統的 Google Chrome 用戶,都應立即更新至最新版本,以避免潛在的資安攻擊風險。

  • CVE編號:CVE-2022-1364
  • 影響產品(版本):Google Chrome 100.0.4896.127 之前各作業系統(Windows、macOS、Linux)版本。
  • 解決方案:更新至 Google Chrome 100.0.4896.127 或其後續版本。
  • 參考連結

Stable Channel Update for Desktop

https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

Google Chrome < 100.0.4896.127 Vulnerability

https://www.tenable.com/plugins/nessus/159740

Google Chrome emergency update fixes zero-day used in attacks

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Google Chrome 瀏覽器 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄