Google Chrome 浏览器的新修复程序正在修复七个关键安全漏洞。其中四个漏洞被美国网络安全和基础设施局 (CISA) 称为高风险。该机构要求所有用户下载最新版本的 Chrome (v102.0.5005.115) 以保护自己。
新的 Chrome 修复程序适用于受这些漏洞影响的 Windows、Mac 和 Linux 用户
根据 CISA 的说法,Chrome 上的这些漏洞存在于 Windows、Linux 和 Mac 版本的浏览器上。因此,为 Chrome 启用了自动更新的用户应该已经安全了。高风险漏洞包括 CVE-2022-2007、CVE-2022-2008、CVE-2022-2010 和 CVE-2022-2011。
CVE-2022-2007 是 WebGPU 中存在的 UAF(Use-After-Free)漏洞,使攻击者能够在程序运行期间利用动态内存的错误使用并最终破解程序。同时,谷歌将 CVE-2022-2008 定义为“WebGL 中的越界内存访问”。
CVE-2022-2010 是浏览器中的越界读取漏洞。第四个高危漏洞 CVE-2022-2011 是跨平台图形引擎提取层 (ANGLE) 中的 UAF 漏洞。
谷歌没有提供攻击者如何利用该漏洞的全貌。这符合公司的政策,即在所有用户安装补丁之前不披露有关高风险漏洞的所有细节。
“在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果该漏洞存在于其他项目同样依赖但尚未修复的第三方库中,我们还将保留限制,”谷歌在一篇博文中表示(通过ZDNet)。
CVE-2022-2010的发现来自谷歌零项目研究组。其他人来自独立研究人员,包括 David Manouchehri、Tran Van Khang 和 SeongHwan Park。虽然 Manouchehri 将因识别 CVE-2022-2007 而获得 10,000 美元的赏金,但其余两名研究人员的奖励金额为“待定”。
CISA 上周在其目录中添加了 36 个安全漏洞
上周,美国网络安全和基础设施安全局 (CISA) 在其冗长的目录中增加了 36 个新的安全漏洞。该机构表示,这些漏洞是一种常见的攻击媒介,可能使个人面临“重大风险”。
这些新发现的漏洞属于不同的公司和品牌集团,包括 Adobe、Cisco、Google、Microsoft、Netgear 和 QNAP 等。