谷歌 Chrome 紧急更新修复了新零日漏洞CVE-2022-3075

谷歌已经为 Windows、Mac 和 Linux 用户发布了 Chrome 105.0.5195.102,以解决一个高严重性的安全漏洞,这是今年修补的攻击中被利用的第六个 Chrome 零日漏洞。

“谷歌知道有报道称 CVE-2022-3075 漏洞在野外存在,”该公司 在周五发布的安全公告中表示。

这个新版本正在稳定桌面频道推出,谷歌表示它将在几天或几周内覆盖整个用户群。

可以通过  设置 进入 Chrome 菜单 > 帮助 > 关于 Google Chrome 检查更新,下载安装更新

Web 浏览器还将设置自动检查新更新并在下次启动后自动安装它们。

image-20220907001125656

修复细节

今天修复的零日漏洞 ( CVE-2022-3075 ) 是一个高度严重的漏洞,由 Mojo 中的数据验证不足引起, Mojo是一组运行时库,有助于跨任意进程间和进程内边界传递消息。

谷歌表示,这个安全问题是由一位选择匿名报告的安全研究人员发现的。

尽管浏览器供应商表示零日漏洞已被广泛利用,但尚未分享有关这些事件的技术细节或信息。

“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制,”谷歌补充道。

“如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”

通过延迟发布有关这些攻击的更多信息,谷歌可能旨在为 Chrome 用户提供足够的时间来更新和防止利用尝试,直到更多的威胁参与者创建自己的攻击来部署攻击。

2022 年修复的第六个 Chrome 零日漏洞

在此版本中,Google 发布了安全更新,以解决自年初以来的第六个 Chrome 零日补丁。

2022 年发现并修补的前五个零日漏洞是:

  • CVE-2022-2856 - 8 月 17 日

  • CVE-2022-2294 - 7 月 4 日

  • CVE-2022-1364 - 4 月 14 日

  • CVE-2022-1096 - 3 月 25 日

  • CVE-2022-0609 - 2 月 14 日

正如谷歌威胁分析小组 (TAG) 于 2 月披露的那样,CVE-2022-0609在 2 月补丁发布前几周就被朝鲜支持的国家黑客利用了 。此外,最早的剥削迹象是在一月初发现的。

该漏洞在通过网络钓鱼电子邮件推送恶意软件的活动中被滥用,该活动使用虚假工作诱饵和托管隐藏 iframe 服务漏洞工具包的受感染网站。

鉴于CVE-2022-3075零日漏洞的修补已知已被野外攻击者利用,强烈建议尽快升级谷歌 Chrome 浏览器。