近期，谷歌發(fā)布公告，稱已經(jīng)為Windows用戶發(fā)布了Chrome 103.0.5060.114更新，以解決在野被攻擊者利用的高嚴重性零日漏洞，這也是2022年谷歌修補的第四個 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范圍內(nèi)的Stable Desktop頻道推出，谷歌表示它需要幾天或幾周的時間才能觸達整個用戶群。

按照提示，BleepingComputer進入Chrome 菜單>幫助>關(guān)于 Google Chrome 檢查新更新時，發(fā)現(xiàn)更新立即可用。同時Web瀏覽器還將自動檢查新更新并在下次啟動后自動安裝它們。

上周五，Avast威脅情報團隊的Jan Vojtesek報告說，近期修復(fù)的零日漏洞(編號為CVE - 222 -2294)是WebRTC (Web實時通信)組件中一個嚴重的基于堆的緩沖區(qū)溢出漏洞。

盡管谷歌表示這個零日漏洞在野被利用，但該公司尚未分享技術(shù)細節(jié)或有關(guān)這些事件的任何信息。谷歌表示：“在大多數(shù)用戶更新修復(fù)之前，對錯誤詳細信息和鏈接的訪問可能會受到限制。如果漏洞存在于第三方中，在尚未修復(fù)之前，我們也會保留限制?！庇捎谟嘘P(guān)攻擊的詳細信息延遲發(fā)布，Chrome用戶有足夠的時間來更新和防止利用嘗試，直到 Google 提供更多詳細信息。

通過此次更新，谷歌解決了自年初以來的第四次 Chrome 零日問題，而在這之前發(fā)現(xiàn)并修補的前三個零日漏洞分別是：

• CVE-2022-1364  - 4 月 14 日
• CVE-2022-1096  - 3 月 25 日
• CVE-2022-0609  - 2 月 14 日

根據(jù)谷歌威脅分析組 (TAG)的說法，2月份修復(fù)的CVE-2022-0609在2月補丁發(fā)布前幾周被朝鮮支持的國家黑客利用，最早的在野漏洞利用是在今年1月4日發(fā)現(xiàn)的。它被兩個朝鮮資助的威脅組織所利用，并通過網(wǎng)絡(luò)釣魚郵件、使用虛假的工作誘餌和提供隱藏iframes服務(wù)的網(wǎng)站來傳播惡意軟件。最后，對于此次漏洞，谷歌方面建議用戶盡快安裝最新的谷歌瀏覽器更新。