Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。
谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。
谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。
披露的几个漏洞细节
据悉,谷歌新修复的零日漏洞追踪为 CVE-2022-1364,是 Chrome V8 JavaScript 引擎中一个高严重性类型混淆漏洞,由谷歌威胁分析小组成员 Clément Lecigne 发现。
根据以往经验来看,攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。漏洞披露不久后,谷歌方面表示,安全研究人员已经检测到利用该零日漏洞的网络攻击行为,但是没有提供关于网络攻击活动的具体细节。
另外,谷歌强调,对漏洞细节和链接的访问可能会一直受到限制,直到大多数用户应用更新版本。值得一提的是,CVE-2022-1364 是本次更新中唯一披露的漏洞,侧面说明为了解决这个问题,谷歌紧急推出了Chrome 100.0.4896.127版本。