谷歌周四发布了软件更新,以解决其 Chrome 网络浏览器中的另一个零日漏洞。
追踪为CVE-2022-4135的高严重性漏洞已被描述为 GPU 组件中的堆缓冲区溢出。谷歌威胁分析小组 (TAG) 的 Clement Lecigne 于 2022 年 11 月 22 日报告了该漏洞。
基于堆的缓冲区溢出错误可以被威胁行为者武器化,使程序崩溃或执行任意代码,从而导致意外行为。
根据 NIST 的国家漏洞数据库,该漏洞可能允许“破坏渲染器进程的远程攻击者可能通过精心制作的 HTML 页面执行沙箱逃逸”。
“谷歌知道 CVE-2022-4135 的漏洞存在于野外,”这家科技巨头在一份公告中承认。
但与其他被积极利用的问题一样,技术细节已被隐瞒,直到大多数用户更新了修复程序并防止进一步滥用。
自今年年初以来,谷歌通过最新更新解决了 Chrome 中的八个零日漏洞——
CVE-2022-0609 - 动画中的释放后使用
CVE-2022-1096 - V8 中的类型混淆
CVE-2022-1364 - V8 中的类型混淆
CVE-2022-2294 - WebRTC 中的堆缓冲区溢出
CVE-2022-2856 - Intents 中不可信输入的验证不充分
CVE-2022-3075 - Mojo 中的数据验证不足
CVE-2022-3723 - V8 中的类型混淆
建议用户升级到 macOS 和 Linux 版本 107.0.5304.121 和 Windows 版本 107.0.5304.121/.122 以减轻潜在威胁。
还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复程序可用时应用它们。
thehackernews
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...