并非GoogleChrome的每个稳定频道更新都包含令人兴奋的新功能,但这并不意味着您应该忽略它们。使您的软件保持最新状态至关重要,因为恶意行为者总是会发现新的漏洞来加以利用。说到这,谷歌上周五推出了Chrome版本99.0.4844.84,以解决一个新的零日漏洞。
不要错过
周二特卖:厨房必需品、AirPods3150美元、iPadAir130美元折扣、Bose特卖等
Chrome更新补丁零日漏洞
正如谷歌的PrudhvikumarBommana在周五的一篇博文中指出的那样,该公司意识到CVE-2022-1096的漏洞利用在野外存在。
BleepingComputer指出,零日漏洞是Chrome的V8JavaScript引擎中的一个高严重性类型混淆弱点。一位匿名消息人士于3月23日向谷歌报告了该漏洞,就在更新推出前两天。
如果攻击者能够利用一种混淆漏洞,它可能允许他们在浏览器中执行任意代码。如果他们拥有必要的权限,他们还可以查看、编辑或删除数据。不过,我们不确定攻击者如何利用这个特定的漏洞,因为谷歌希望每个人都在分享详细信息之前更新Chrome。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制,”谷歌解释道。“如果该漏洞存在于其他项目同样依赖但尚未修复的第三方库中,我们还将保留限制。”
这是谷歌在2022年不得不修补的第二个主要Chrome漏洞。正如BleepingComputer所指出的,朝鲜国家黑客利用了一个零日漏洞一个多月。谷歌终于在二月份开始修补它。黑客使用电子邮件以及虚假和受感染的网站来诱骗目标触发漏洞利用。
“攻击者利用包含多个阶段和组件的漏洞利用工具包来利用目标用户,”谷歌透露。“攻击者将指向漏洞利用工具包的链接放置在隐藏的iframe中,他们将这些链接嵌入到他们拥有的网站以及他们入侵的一些网站上。”
黑客组织的目标是“为10家不同的新闻媒体、域名注册商、网络托管服务提供商和软件供应商工作的250多人”。谷歌的威胁分析小组(TAG)表示,该活动与网络活动OperationDreamJob一致。攻击者会用来自主要国防和航空航天公司的虚假工作机会来引诱受害者。一些假域名试图模仿ZipRecruiter、Indeed和DisneyCareers。
Chrome并不总是在您打开浏览器时应用最新更新,因此如果您想检查并查看您正在运行的版本,请转到设置,然后转到屏幕左侧菜单栏底部的关于Chrome.
如果您已经在运行最新版本的浏览器,那么您就可以开始了。如果没有,您应该尽快开始更新过程。下载完成后,单击重新启动按钮以完成更新。