據(jù) Bleeping Computer 網(wǎng)站消息，谷歌發(fā)布了適用于 Windows、Mac 和 Linux 的更新版本Chrome 99.0.4844.84，以解決一個(gè)在野被利用的高嚴(yán)重性零日漏洞。

上周，谷歌發(fā)布安全公告稱，研究人員發(fā)現(xiàn)一個(gè)在野被利用高危零日漏洞，追蹤為 CVE-2022-1096，已經(jīng)更新版本以解決漏洞問題。Chrome 新版本 99.0.4844.84 已經(jīng)向全球推出，可能需要幾周時(shí)間即可覆蓋整個(gè)用戶群體。

需要更新的用戶可以進(jìn)入 Chrome 菜單，查找關(guān)于谷歌瀏覽器更新版本，進(jìn)行更新。另外，網(wǎng)絡(luò)瀏覽器還將自動檢查新的更新，并在下次啟動時(shí)自動安裝。

漏洞細(xì)節(jié)未披露

據(jù)悉，該零日漏洞(CVE-2022-1096)由一位匿名安全人員發(fā)現(xiàn)，是 Chrome V8 JavaScript 引擎的一個(gè)高嚴(yán)重性的類型混淆漏洞。

類型混淆漏洞通常會在成功利用后，導(dǎo)致瀏覽器崩潰。通過讀取或?qū)懭氤鼍彌_區(qū)的內(nèi)存，攻擊者也可以利用它們來執(zhí)行任意代碼。

值得一提的是，盡管谷歌表示已經(jīng)在野外檢測到利用這一零日漏洞的攻擊事件，但沒有分享有關(guān)這些事件的技術(shù)細(xì)節(jié)或其他信息。

谷歌方面表示，公司會對用戶訪問錯誤的鏈接進(jìn)行限制，直到大多數(shù)用戶更新到最新版本。如果該漏洞存在于其他項(xiàng)目同樣依賴的第三方庫中，在尚未修復(fù)之前，也將保留限制。

今年修補(bǔ)了第二個(gè) Chrome 零日漏洞

2022 年以來，谷歌已經(jīng)發(fā)現(xiàn)并解決了 2 個(gè) Chrome 零日漏洞，另外一個(gè)漏洞追蹤為 CVE-2022-0609，已經(jīng)在上月發(fā)布了更新補(bǔ)丁。

CVE-2022-0609 零日漏洞是 Animation 中的免費(fèi)使用問題，該漏洞是由谷歌威脅分析小組的 Adam Weidemann 和 Clément Lecigne 報(bào)告。

谷歌威脅分析小組(TAG)透露，某些具有國家背景的黑客組織在補(bǔ)丁發(fā)布前幾周，就已經(jīng)利用了 CVE-2022-0609 零日漏洞，最早的主動利用跡象可以追溯到 2022年 1 月 4 日。

參考文章：https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/