上周五,Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新,以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做,请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本,在Windows上至少更新到108.0.5359.94/.95。
Google的Prudhvikumar Bommana在Chrome发布的博客上说,CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉,那是因为这是今年Chrome浏览器中的第三个此类漏洞。
正如我们之前解释的那样,如果攻击者利用类型混淆漏洞,可以让他们在浏览器中执行任意代码。如果他们有必要的权限,他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞,因为Google希望大家在分享细节之前更新Chrome。
“对错误细节和链接的访问可能会保持限制,直到大多数用户都更新了修复程序,”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中,但尚未修复,我们也将保留限制。”
这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面,涉及GPU的堆缓冲区溢出。
当你打开浏览器时,Chrome浏览器并不总是应用最新的更新,所以如果你想检查并查看你正在运行的版本,请进入设置界面,然后在屏幕左侧的菜单栏底部的”关于Chrome”。
了解更多技术细节:
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html