谷歌发布了对其流行的Chrome浏览器的更新,以修复四个漏洞,包括一个被攻击者利用的零日电流。根据谷歌的公告,新的Chrome版本103.0.5060.114将在未来几天和几周内向Windows用户推出。它包括高严重性CVE-2022-2294,这是WebRTC中的一个堆缓冲区溢出错误。Avast研究员Jan Vojtesek于7月1日报道了这一消息。
谷歌表示:“我们还要感谢在开发周期中与我们合作的所有安全研究人员,以防止安全漏洞进入稳定渠道。谷歌知道 CVE-2022-2294 的漏洞在野外存在。”
然而,谷歌发布了外部研究人员发现的另外两个高严重性漏洞的详细信息,并在更新中修复了这些漏洞。
CVE-2022-2295是V8 JavaScript引擎中的类型混淆漏洞,CVE-2022-2296是 Chrome OS Shell中的释放后使用(UAF)漏洞。
Keeper Security 安全与架构副总裁 Patrick Tiquet 解释说:“CVE-2022-2294可能会通过访问恶意网站导致任意远程代码执行。”
他补充道:“这可能使攻击者能够在目标系统上执行各种操作,例如安装恶意软件或窃取信息。Web 浏览器是几乎所有基于云的服务所共有的基本应用程序,因此是高优先级目标。攻击 Web 浏览器可能会破坏该浏览器访问的任何基于云的服务。”
确保为网络浏览器打补丁是用户或客户组织的责任。Web 浏览器如果不进行维护和修补,可能会成为任何基于云的服务安全性的薄弱环节。在这种情况下,客户端 Web 浏览器应该特别关注云服务,因为它们在很大程度上超出了云服务提供商的安全控制范围。
这是谷歌在今年2 月、3 月和 4 月更新后,被迫修复的第四个Chrome零日漏洞。