漏洞 – 谷歌吧

安全公司披露了谷歌Chrome浏览器中的高风险漏洞，这些漏洞可以窃取用户的敏感信息

IT之家 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。

该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。IT之家了解到，在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。

Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。

在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。

该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。

博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。

Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。

谷歌：国内黑客仍在利用IE 0day漏洞

谷歌威胁分析小组 (TAG) 透露，一群被追踪为 APT37 的东北亚某国黑客利用以前未知的 Internet Explorer 0day漏洞感染韩国目标。

10 月 31 日，当来自韩国的多个 VirusTotal 提交者上传了一份名为“221031 Seoul Yongsan Itaewon 事故响应情况 (06:00).docx”的恶意Office文档，Google TAG意识到这次攻击。

一旦在受害者的设备上打开，该文档将在下载一个富文本文件 (RTF) 远程模板后传递一个未知的负载，该模板将使用 Internet Explorer 呈现远程 HTML。

远程加载提供漏洞利用的 HTML 内容允许攻击者利用 IE 零日漏洞，即使目标并未将其用作默认 Web 浏览器。

该漏洞（跟踪为 CVE-2022-41128）是由于 Internet Explorer 的 JavaScript 引擎中的一个漏洞，成功利用漏洞可以在访问恶意网站时执行任意代码。

微软在 11 月 8日补丁日对漏洞进行了修补。

被 APT37 黑客用作诱饵的恶意 Office 文档（Google TAG）

Google TAG说：“虽然我们没有发现这次活动的最终有效载荷，我们之前观察到同一组织投递的各种植入物，如 ROKRAT、BLUELIGHT 和 DOLPHIN。APT37 植入程序通常滥用合法的云服务作为 C2 通道，并提供大多数后门程序的典型功能。”

APT37已经活跃了大约十年，至少从 2012 年开始，并且之前被 FireEye 高度信任地与东北亚某国政府关联。

谷歌发布Chrome 108浏览器紧急更新以修复零日漏洞

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。

Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。

正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。

“对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。”

这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。

当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的”关于Chrome”。

了解更多技术细节：

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

浏览器漏洞报告：Google Chrome是最容易受到攻击的Safari仍然安全

根据周三的一份报告，谷歌Chrome是市场上最脆弱的浏览器。截至目前，2022年该浏览器存在303个漏洞，累计漏洞3159个。这些数字基于VulDB漏洞数据库的数据，涵盖2022年1月1日至2022年10月5日。

谷歌Chrome是10月份这几天中唯一存在新漏洞的浏览器。最近的包括CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309和CVE-2022-3307。用户可以通过更新到Google Chrome版本106.0.5249.61来修复这些问题。

Mozilla的Firefox浏览器在漏洞方面排名第二，有117个漏洞。截至10月5日，Microsoft Edge有103个漏洞，比2021年全年多61%。总体而言，自发布以来，它已经有806个漏洞。

接下来是Safari，在2022年前三个季度，有26个漏洞，自发布以来累计漏洞数量为1139个。

与此同时，到2022年为止，Opera浏览器还没有记录在案的漏洞，总共累计344个漏洞。

研究：到2022年，谷歌Chrome是最易受攻击的浏览器

IT之家 10 月 7 日消息，Atlas 的新研究发现，谷歌 Chrome 浏览器是 2022 年最易受攻击的网络浏览器。根据该报告，Chrome 浏览器今年已经记录了 303 个漏洞，也是唯一一个在 10 月出现了新安全漏洞的网络浏览器。

紧随谷歌浏览器之后，排在第二位的是 Mozilla Firefox，有 117 个漏洞，而微软 Edge 排在第三，有 103 个。Safari 和 Opera 排名第四和第五，分别有 26 和 0 个漏洞。

IT之家了解，总的漏洞数量方面，Chrome 浏览器也名列前茅，该浏览器自 2008 年 9 月推出以来总共有 3159 个漏洞。虽然 Firefox、Safari 和 Opera 都比 Chrome 老，但它们总的漏洞更少，分别为 2361、1139 和 344 个。2015 年推出的 Edge 浏览器，总共有 806 个漏洞。

为了减少黑客利用浏览器漏洞进行攻击的风险，尽量在浏览器更新时尽快安装。另外，在安装浏览器扩展程序之前要仔细审查，因为其中一些可能存在网络犯罪分子可以利用的漏洞。最后，要始终警惕网络钓鱼攻击，攻击者往往会利用电子邮件等平台来传播能够利用各种浏览器缺陷的恶意软件。

谷歌发布了Chrome 105的稳定版本更新：修复高风险零日漏洞

如果你习惯使用 Chrome 浏览器上网，那么小编推荐你尽快检查下更新。在 Google 推出的更新中修复了追踪编号为 CVE-2022-3075 的高危零日漏洞，目前已经有证据表明有黑客利用该漏洞执行攻击。

在部分匿名用户于 8 月 30 日报告该问题之后，Google 立即着手修复该问题。安装本次更新之后，Chrome 版本号升至为 105.0.5195.102，这也是 2022 年 Google 修复的第 6 个 Chrome 零日漏洞。此前修复的 5 个零日漏洞分别为 CVE-2022-0609, CVE-2022-1096, CVE-2022-1364, CVE-2022-2294 和 CVE-2022-2856。

目前，关于该漏洞的信息仍然有限，涉及 Mojo 中的“数据验证不足”。尽管如此，一旦部署完成并且所有用户都免受攻击，Google将发布有关错误详细信息和链接的附加声明。更新将需要几天到几周的时间才能自动推广到每个用户，但您可以通过转到 Chrome 菜单 > 帮助 > 关于 Google Chrome 手动完成。

它已被黑客利用：新版chrome修复了高风险漏洞

芯研所7月5日消息，日前，谷歌为Chrome浏览器发布了103.0.5060.114紧急更新，修复了一个已经证明被利用的高危漏洞。用户可以在Chrome浏览器菜单>帮助>关于Google浏览器中，检查新的补丁，并进行更新。

芯研所采编

据悉，该高危零日漏洞编号为CVE-2022-2294，存在于WebRTC组件中，会导致基于堆的缓冲区溢出。黑客能够利用该漏洞的这一特性造成程序崩溃，且如果在攻击过程中实现了代码的执行，还能够直接绕过已有的安全解决方案。

根据谷歌方面的消息，该漏洞已经证实被黑客利用，但为了避免问题进一步扩大，官方并未分享与之相关的任何细节或其他信息。和之前的漏洞情况相同，直到到部分用户进行更新，且第三方库不再依赖相关模块运行，谷歌才会对外公布漏洞的具体信息。

(7960816)

Google修复了四个高风险Chrome浏览器漏洞

编辑：左右里

近日，谷歌发布了适用于Windows、Mac和Linux的Google Chrome浏览器102.0.5005.115版本更新，共发现并修补了七个安全漏洞，其中四个为高风险安全漏洞，这些漏洞可能会被攻击者利用来控制受影响的系统。

高风险漏洞其一是CVE-2022-2007，WebGPU中的释放后使用（Use-After-Free）漏洞，该漏洞允许攻击者利用程序操作期间不正确使用动态内存来破解程序。其二是CVE-2022-2008，WebGL（Google Chrome中使用的JavaScript API）中的内存访问越界漏洞，该漏洞使攻击者能够读取他们本无权访问的敏感信息。

Google Chrome安全更新修复的第三个高风险漏洞是CVE-2022-2010，Chrome合成组件中的一个越界读取漏洞。最后一个是CVE-2022-2011，ANGLE中的UAF漏洞，ANGLE是Chrome后端使用的开源跨平台图形引擎抽象层。

根据Google的政策，目前关于攻击者会如何利用高风险漏洞的全部细节尚未披露：

“对bug详细信息和链接的访问可能会受到限制，直到大多数用户已完成更新。如果该bug存在于其他项目同样依赖但尚未修复的第三方库中，我们也将保持限制。“相关Google博客文章中如此声明。

除CVE-2022-2010是由Google的Project Zero安全研究团队发现的以外，其他的漏洞都是由独立的安全研究人员发现的。安全研究员David Manouchehri因披露CVE-2022-2007而获得了10000美元的漏洞赏金，而发现CVE-2022-2008和CVE-2022-2011的研究人员的漏洞赏金尚未确定。

为降低安全风险，建议谷歌浏览器用户前往Google Chrome“设置”-“关于 Chrome”进行更新。

资讯来源：Google、ZDNet

转载请注明出处和本文链接

每日涨知识

文件感染病毒

许多病毒感染不同类型的可执行文件，并且在操作系统试图执行这些文件时触发。对于基于Windows的系统来说，可执行文件以扩展名.exe和.com为后缀。

Google Chrome更新修复了30多个漏洞

鞭牛士 5月2日消息，Google释出Windows、macOS与Linux版Chrome 101.0.4951.41版修补30多项漏洞，包含7项重大风险漏洞。

这7项高风险漏洞包含5项使用已释放内存（use after free，UAF）漏洞，分别位于Vulkan图形API、Swiftshader 3D渲染器、ANGLE图形引擎抽象层、Device API及Sharing元件。

UAF通常会导致应用崩溃及任意代码执行等后果，命名为CVE-2022-1477到CVE-2022-1481。

5项漏洞以发生在Vulkan（CVE-2022-1477）最严重，获颁1万美元奖金，其次是Swiftshader和Angle的漏洞。

谷歌Chrome推出了一个紧急更新补丁来修复高风险漏洞

IT之家 4 月 16 日消息 2022 年 04 月 14 日，Google 官方发布了一则 Chrome 风险警告，通报了一个编号为 CVE-2022-1364 的漏洞，漏洞等级“高危”，漏洞评分“8.5”，利用难度较低，且强调该漏洞已检测到被利用。

现在，谷歌发布了最新的 Windows、Mac 及 Linux 版 Chrome 100.0.4896.127，并且成功修复这一漏洞，还建议微软 Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器尽快修复这一漏洞。

这次紧急修补的漏洞是 CVE-2022-1364，这是一个高危类型混淆漏洞，它会导致 Chromium v8 的类型混乱，影响到浏览器中使用的 JavaScript 引擎。此类漏洞通常可在成功读取或写入超出缓冲区上限的内存后导致浏览器崩溃或执行任意代码。

IT之家了解到，谷歌 Chrome 代码是基于其他开放源代码软件所编写，包括 Apple WebKit 和 Mozilla Firefox，并在此基础上开发出了这个“V8”高性能 JavaScript 引擎。

Google 威胁分析团队研究人员 Clément Lecigne 首次发现了这一漏洞，定位为高风险漏洞。Google 并表示网络上已开始流传利用这一漏洞攻击他人的程序。

据悉，这是今年初以来发现的第三个 Chrome 零日漏洞。Google 分别在 2 月中及 3 月底紧急修补 v8 引擎中另 2 个类型混淆漏洞，分别为 CVE-2022-0609 及 CVE-2022-1096。