谷歌已经为 Windows、Mac 和 Linux 用户发布了 Chrome 105.0.5195.102，以解决一个高严重性的安全漏洞，这是今年修补的攻击中被利用的第六个 Chrome 零日漏洞。

“谷歌知道有报道称 CVE-2022-3075 漏洞在野外存在，”该公司 在周五发布的安全公告中表示。

这个新版本正在稳定桌面频道推出，谷歌表示它将在几天或几周内覆盖整个用户群。

可以通过  设置 进入 Chrome 菜单 > 帮助 > 关于 Google Chrome 检查更新，下载安装更新

Web 浏览器还将设置自动检查新更新并在下次启动后自动安装它们。

修复细节

今天修复的零日漏洞 ( CVE-2022-3075 ) 是一个高度严重的漏洞，由 Mojo 中的数据验证不足引起， Mojo是一组运行时库，有助于跨任意进程间和进程内边界传递消息。

谷歌表示，这个安全问题是由一位选择匿名报告的安全研究人员发现的。

尽管浏览器供应商表示零日漏洞已被广泛利用，但尚未分享有关这些事件的技术细节或信息。

“在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制，”谷歌补充道。

“如果错误存在于其他项目类似依赖但尚未修复的第三方库中，我们还将保留限制。”

通过延迟发布有关这些攻击的更多信息，谷歌可能旨在为 Chrome 用户提供足够的时间来更新和防止利用尝试，直到更多的威胁参与者创建自己的攻击来部署攻击。

2022 年修复的第六个 Chrome 零日漏洞

在此版本中，Google 发布了安全更新，以解决自年初以来的第六个 Chrome 零日补丁。

2022 年发现并修补的前五个零日漏洞是：

• CVE-2022-2856 - 8 月 17 日

• CVE-2022-2294 - 7 月 4 日

• CVE-2022-1364 - 4 月 14 日

• CVE-2022-1096 - 3 月 25 日

• CVE-2022-0609 - 2 月 14 日

正如谷歌威胁分析小组 (TAG) 于 2 月披露的那样，CVE-2022-0609在 2 月补丁发布前几周就被朝鲜支持的国家黑客利用了 。此外，最早的剥削迹象是在一月初发现的。

该漏洞在通过网络钓鱼电子邮件推送恶意软件的活动中被滥用，该活动使用虚假工作诱饵和托管隐藏 iframe 服务漏洞工具包的受感染网站。

鉴于CVE-2022-3075零日漏洞的修补已知已被野外攻击者利用，强烈建议尽快升级谷歌 Chrome 浏览器。