谷歌修復四個高風險chrome瀏覽器漏洞

編輯：左右裡

近日，谷歌釋出了適用於Windows、Mac和Linux的Google Chrome瀏覽器102.0.5005.115版本更新，共發現並修補了七個安全漏洞，其中四個為高風險安全漏洞，這些漏洞可能會被攻擊者利用來控制受影響的系統。

高風險漏洞其一是CVE-2022-2007，WebGPU中的釋放後使用（Use-After-Free）漏洞，該漏洞允許攻擊者利用程式操作期間不正確使用動態記憶體來破解程式。其二是CVE-2022-2008，WebGL（Google Chrome中使用的JavaScript API）中的記憶體訪問越界漏洞，該漏洞使攻擊者能夠讀取他們本無權訪問的敏感資訊。

Google Chrome安全更新修復的第三個高風險漏洞是CVE-2022-2010，Chrome合成元件中的一個越界讀取漏洞。最後一個是CVE-2022-2011，ANGLE中的UAF漏洞，ANGLE是Chrome後端使用的開源跨平臺圖形引擎抽象層。

根據Google的政策，目前關於攻擊者會如何利用高風險漏洞的全部細節尚未披露：

“對bug詳細資訊和連結的訪問可能會受到限制，直到大多數使用者已完成更新。如果該bug存在於其他專案同樣依賴但尚未修復的第三方庫中，我們也將保持限制。“相關Google部落格文章中如此宣告。

除CVE-2022-2010是由Google的Project Zero安全研究團隊發現的以外，其他的漏洞都是由獨立的安全研究人員發現的。安全研究員David Manouchehri因披露CVE-2022-2007而獲得了10000美元的漏洞賞金，而發現CVE-2022-2008和CVE-2022-2011的研究人員的漏洞賞金尚未確定。

為降低安全風險，建議谷歌瀏覽器使用者前往Google Chrome“設定”-“關於 Chrome”進行更新。

資訊來源：Google、ZDNet

轉載請註明出處和本文連結

每日漲知識

檔案感染病毒

許多病毒感染不同型別的可執行檔案，並且在作業系統試圖執行這些檔案時觸發。對於基於Windows的系統來說，可執行檔案以副檔名.exe和.com為字尾。

推薦文章++++

* 研究人員新發現一種極為隱蔽的Linux惡意軟體

* 世界安全大會RSAC 2022焦點總覽

* 趨勢科技發現古巴勒索軟體新變種

* 美國拆除SSNDOB地下市場

* Mandiant否認遭LockBit勒索軟體攻擊

* 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動

* 歐洲刑警組織拆除FluBot安卓惡意軟體

﹀

﹀

﹀