谷歌紧急更新,Chrome 今年第二个零日漏洞曝光
source link: https://blog.csdn.net/csdnnews/article/details/123819919
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
已于 2022-03-29 15:19:39 修改
885
整理 | 张仕影
出品 | CSDN(ID:CSDNnews)
在曾经市场份额疯长到全球第二的 Firefox 浏览器日益变“糊,并且如今市场占有率已不足 4% 的形势下,2008 年诞生的 Chrome 浏览器依旧深受用户喜爱:据 W3Counter 最新统计,Chrome 以 67.9% 的市场份额稳居第一。
(2022 年 2 月网络浏览器市场占有率)
尽管 Chrome 浏览器是目前最受欢迎的浏览器,但其每年都会产生不少的安全漏洞,据统计,Google 在2021 年中就修补了 16 个 Chrome 零日漏洞 。而今年以来,Chrome 浏览器已经曝光了两个零日漏洞。
今年的第一个 Chrome 零日漏洞
2 月初,Google 威胁分析小组(TAG)的 Clément Lecigne 发现了 Chrome 今年的第一个零日漏洞(被追踪为 CVE-2022-0609)的存在,随后,Google 在几天后的紧急更新中解决了该漏洞。
据 Google 的威胁分析小组(TAG)公布,该漏洞被朝鲜黑客所利用,他们通过网络钓鱼电子邮件、假网站或被破坏的合法网站进行攻击,利用这种零日远程代码执行漏洞的方式重点攻击了新闻媒体、IT公司、加密货币和金融科技组织。
Google 最终发布了适用于 Windows,Mac 和 Linux 的 Chrome 98.0.4758.102 来修复该漏洞。
今年的第二个 Chrome 零日漏洞
上周五(3月25日), Google(谷歌)浏览器供应商在发布的安全公告中表示,“Google 已经知晓 CVE-2022-1096 漏洞存在于野外”。
外媒 BleepingComputer(恶意软件研究技术网)报道,已修复的零日漏洞(被跟踪为 CVE-2022-1096)是由匿名安全研究人员所上报的,为 Chrome V8 JavaScript 引擎中的高危型类型混淆(type confusion)问题。
不过有关于该漏洞的技术细节或其他信息,谷歌并没有过多分享。除此之外,谷歌还在安全公告中表示:“直到大多数用户完成修复更新之前,对于错误详细信息和链接的访问可能会受到限制。如果该漏洞存在于其他项目同样依赖的第三方库中,那么我们也将保留限制。”
(Chrome 99.0.4844.84 更新) 目前,Google 已经为 Windows、Mac 和 Linux 用户发布了 Chrome 99.0.4844.84,以解决在野外被利用的高危零日漏洞。 虽然 99.0.4844.84 版本已经在 Stable Desktop 频道中向全球推出,但 Google 表示,整个用户群完成更新可能还需要几周的时间。
BleepingComputer(恶意软件研究技术网)说明,当他们通过进入 Chrome 菜单>帮助>关于 Google Chrome 检查更新时,发现已经可以立即进行更新。此外,网络浏览器还会自动检查更新,并在下次启动后自动安装。
现下建议 Google Chrome 浏览器的用户尽快将浏览器更新至最新版本,以此避免漏洞所带来的风险。
参考链接:https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK