谷歌周五发布了一个带外安全更新,以解决其 Chrome 浏览器中的一个高严重漏洞,据称该漏洞正在被广泛利用。
轨道 K CVE-2022-1096,零日缺陷与 V8 JavaScript 引擎中混淆的漏洞类型有关。 一位匿名研究人员于 2022 年 3 月 23 日报告了该错误。
类型混淆错误,在访问与最初初始化的类型不兼容的资源(例如,变量或对象)时出现,可能会在除语言之外的其他语言中产生严重后果 安全记忆 像 C 和 C++ 一样,它允许恶意行为者超出限制地访问内存。
“当使用错误类型访问缓冲区时,如果分配的缓冲区小于代码尝试访问的类型,它可以读取或写入缓冲区边界之外的内存,从而导致崩溃并可能导致执行代码,”枚举常见MITRE (CWE) 漏洞 解释.
这家科技巨头承认它“知道在野外存在 CVE-2022-1096 漏洞”,但已停止分享其他详细信息以防止进一步的漏洞利用,直到大多数用户更新了修复程序。
CVE-2022-1096 是谷歌自今年年初以来一直在 Chrome 中解决的零日漏洞,其中第一个漏洞 CVE-2022-0609,动画组件中的一个无可用性漏洞,已于 2022 年 2 月 14 日修补。
本周早些时候,谷歌的威胁分析小组 (TAG) 一份声明 由朝鲜民族国家团体组织的双胞胎运动的详细信息,该运动利用该漏洞攻击美国的组织,包括新闻媒体、信息技术、加密货币和金融技术行业。
强烈建议 Google Chrome 用户更新到适用于 Windows、Mac 和 Linux 的最新版本 99.0.4844.84,以减轻任何潜在威胁。 还建议 Microsoft Edge、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复可用时应用它们。
More Stories
Android 15/One UI 7 正在针对 Galaxy A53、A54 等进行测试
《Helldivers 2》的重大更新招致了负面评价,而且玩家数量并未增加一倍
据报道,谷歌 Pixel 9 将获得一些新的 Gemini AI 功能