谷歌已經(jīng)為 Windows 用戶發(fā)布了 Chrome 103.0.5060.114，以解決攻擊者在野外利用的高嚴重性零日漏洞，這是 2022 年修補的第四個 Chrome 零日漏洞。

“谷歌意識到 CVE-2022-2294 的漏洞在野外存在。”瀏覽器供應(yīng)商??在周一發(fā)布的安全公告中解釋道。

103.0.5060.114 版本正在全球范圍內(nèi)的穩(wěn)定桌面頻道推出，谷歌表示它需要幾天或幾周的時間才能到達整個用戶群。

當 BleepingComputer 通過進入 Chrome 菜單 > 幫助 > 關(guān)于 Google Chrome 檢查新更新時，此更新立即可用。

Web 瀏覽器還將自動檢查新更新并在下次啟動后自動安裝它們。

攻擊細節(jié)未透露

今天修復的零日漏洞（跟蹤為?CVE-2022-2294?）是?WebRTC（Web 實時通信）組件中基于堆的高嚴重?緩沖區(qū)溢出漏洞，由 Avast 威脅情報團隊的 Jan Vojtesek 周五報告, 7 月 1 日。

如果在攻擊期間實現(xiàn)了代碼執(zhí)行，成功利用堆溢出的影響可以從程序崩潰和任意代碼執(zhí)行到繞過安全解決方案。

盡管谷歌表示這個零日漏洞是在野外被利用的，但該公司尚未分享技術(shù)細節(jié)或有關(guān)這些事件的任何信息。

谷歌表示：“在大多數(shù)用戶更新修復之前，對錯誤詳細信息和鏈接的訪問可能會受到限制?！?/p>

“如果錯誤存在于其他項目類似依賴但尚未修復的第三方庫中，我們還將保留限制?！?/p>

由于有關(guān)攻擊的更多信息延遲發(fā)布，Chrome 用戶應(yīng)該有足夠的時間來更新和防止利用嘗試，直到 Google 提供更多詳細信息。

今年第四季度零日修復

通過此次更新，谷歌解決了自年初以來的第四次 Chrome 零日問題。

2022 年發(fā)現(xiàn)并修補的前三個零日漏洞是：

CVE-2022-1364??- 4 月 14 日

CVE-2022-1096??- 3 月 25 日

CVE-2022-0609??- 2 月 14 日

根據(jù)谷歌威脅分析組 (TAG)的說法，2 月份修復的 CVE-2022-0609在 2 月補丁發(fā)布前幾周被朝鮮支持的國家黑客利用?。最早的野外開采跡象是在 2022 年 1 月 4 日發(fā)現(xiàn)的。

它被兩個朝鮮贊助的威脅組織濫用，在通過網(wǎng)絡(luò)釣魚電子郵件推送惡意軟件的活動中，使用虛假的工作誘餌和托管隱藏 iframe 的受感染網(wǎng)站來提供漏洞利用工具包。

因為已知今天的零日補丁已經(jīng)被攻擊者在野外使用，所以強烈建議盡快安裝今天的谷歌瀏覽器更新。