在最新發布的緊急更新中,Google 修復了 Chrome 瀏覽器的 2 個漏洞,其中 1 個漏洞已經被證明被黑客利用。本周發布的緊急更新不僅適用於擁有 30 億活躍用戶的 Chrome 瀏覽器,還同樣適用於 Edge、Brave 和 Vivaldi 等基於 Chromium 的瀏覽器。
其中 1 個漏洞被追蹤為 CVE-2022-1364,是類型混淆漏洞,這是一個高嚴重性的零日漏洞,正被攻擊者積極濫用。Google在其警報中指出,該漏洞是Chromium V8的類型混亂,影響到瀏覽器中使用的JavaScript引擎。
在類型混淆漏洞中,程序將使用一種類型分配資源,如指針或對象,但隨後將使用另一種不兼容的類型訪問該資源。在某些語言中,如 C 和 C++,該漏洞會導致越界內存訪問。
這種不兼容會導致瀏覽器崩潰或引發邏輯錯誤。它有可能被利用來執行任意代碼。
互聯網安全中心稱:“根據與該應用程序相關的權限,攻擊者可以查看、改變或刪除數據。如果這個應用程序被配置為在系統上有較少的用戶權限,利用這個漏洞最嚴重的影響可能比它被配置為管理權限的影響要小”。
隸屬於Google威脅分析小組(TAG)的克萊門特·勒西涅(Clement Lecigne)於4月13日報告了該漏洞,該公司在同一天宣布了修復措施。Google 在警報中寫道:“Google 知道 CVE-2022-1364 的漏洞已經被黑客利用”。
Google官員沒有公布有關該漏洞的許多細節,他們說有關該漏洞的信息和鏈接被限制,直到大多數用戶更新了修復程序,這將使Chrome瀏覽器在Windows、Linux和Mac平台上達到100.0.4896.127版本。他們還說,”如果該錯誤存在於其他項目同樣依賴的第三方庫中,但尚未修復,他們將保留限制。”