谷歌推出新的Chrome浏览器更新以修补又一个零日漏洞

周五，搜索巨头谷歌发布了一项带外安全更新，以修复其Chrome浏览器中一个新的零日漏洞。

该高严重性缺陷被追踪为CVE-2022-4262，与V8 JavaScript引擎中的类型混淆错误有关。谷歌威胁分析小组（TAG）的克莱门特·莱希涅（Clement Lecigne）被认为于2022年11月29日报告了这一问题。

类型混淆漏洞可能被威胁行为体武器化，以执行越界内存访问，或导致崩溃和任意代码执行。

根据NIST的国家漏洞数据库，该漏洞允许“远程攻击者通过特制的HTML页面潜在地利用堆损坏”

谷歌承认积极利用了该漏洞，但没有分享更多细节以防止进一步滥用。

CVE-2022-4262是谷歌自年初以来解决的Chrome中第四个积极利用的类型混淆缺陷。这也是2022年第九个零日漏洞攻击者在野外利用的漏洞-

• CVE-2022-0609号-在动画中免费后使用
• 编号2022-1096-V8中的类型混淆
• 编号2022-1364-V8中的类型混淆
• CVE-2022-2294-WebRTC中的堆缓冲区溢出
• 编号2022-2856-Intents中不受信任的输入验证不足
• CVE-2022-3075号-Mojo中的数据验证不足
• CVE-2022-3723号-V8中的类型混淆
• CVE-2022-4135-GPU中的堆缓冲区溢出

建议用户升级到macOS和Linux的108.0.5359.94版本和Windows的108.0.5539.94/.95版本，以减轻潜在威胁。

基于Chromium的浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议在可用时应用修复程序。