Google已經為Windows、Mac和Linux用戶發布了Chrome 99.0.4844.84,以解決一個在外部被利用的高嚴重性零日漏洞。瀏覽器供應商在周五發布的安全公告中說:”Google已經得知CVE-2022-1096的一個漏洞存在於外部。”
99.0.4844.84版本已經在穩定的桌面頻道中向全球推出,整個用戶群完成更新可能需要一個星期。進入Chrome菜單>幫助>關於Google瀏覽器檢查新的更新時,這個更新立即可用。該網絡瀏覽器還將自動檢查新的更新,並在下次啟動后自動安裝。
今天修復的零日漏洞(被追蹤為CVE-2022-1096)是一個匿名安全研究員報告的Chrome V8 JavaScript引擎中的高嚴重性類型混淆缺陷。
雖然類型混淆缺陷通常會在成功利用后導致瀏覽器崩潰,通過讀取或寫入超出緩衝區的內存,攻擊者也可以利用它們來執行任意代碼。
即使Google說它在外部檢測到利用這一零日的攻擊,該公司也沒有分享有關這些事件的技術細節或其他信息。
“對錯誤細節和鏈接的訪問可能會保持限制,直到大多數用戶得到修復的更新,”Google說。”如果該錯誤存在於其他項目同樣依賴的第三方庫中,但尚未修復,我們也將保留信息披露的限制。”
在瀏覽器供應商發布更多信息之前,Google瀏覽器用戶應該有足夠的時間來升級Chrome瀏覽器並防止惡意攻擊者利用它的企圖。
通過這次更新,Google解決了自2022年開始的第二個Chrome零日漏洞,另一個(追蹤號為CVE-2022-0609)在上個月打了補丁。
Google威脅分析小組(TAG)透露,朝鮮政府支持的黑客在2月補丁公布前幾周就利用了CVE-2022-0609零日,最早的主動利用跡象是在2022年1月4日發現的。
由朝鮮政府支持的兩個獨立的威脅集團在通過釣魚郵件推送惡意軟件的活動中利用了這個零日漏洞,這些釣魚郵件使用虛假的工作誘餌和被破壞的網站託管隱藏的iframe來提供一個利用工具包。
研究人員解釋說:”這些電子郵件包含欺騙合法求職網站的鏈接,如Indeed和ZipRecruiter。在其他情況下,我們已經觀察到假網站–它被設置為分發木馬化的加密貨幣應用程序–託管iframes並將其訪問者指向漏洞工具包。”