谷歌Chrome浏览器曝已在野利用的零日漏洞,可执行任意代码

活动攻击下的新Chrome 0日错误 - 尽快更新您的浏览器!

谷歌近日推出了针对Chrome浏览器的8个安全漏洞更新程序,其中包括1个已在野被积极利用的高危漏洞,这是谷歌2022年开年的第一次修复零日漏洞。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-0609,被描述为动画组件中的一个释放后再使用的漏洞,如果成功利用该漏洞,可能会导致有效数据损坏并在受影响的系统上执行任意代码。

Google 威胁分析小组发现了该漏洞在现实世界被积极利用,谷歌工程师报告了该漏洞,并在声明中承认该漏洞已在野被积极利用。

活动攻击下的新Chrome 0日错误 - 尽快更新您的浏览器!

谷歌本次的安全更新,还修复了影响文件管理器、Webstore API、 ANGLE和 GPU 的其他4个释放后再使用缺陷,以及选项卡组中的堆缓冲区溢出漏洞等多个重大安全威胁。

谷歌Chrome浏览器在 2021 年全年,共发布并修复了 16 个零日漏洞。

CVE-2021-21148 – 2 月 4 日发布,是面向 V8 开源 Web 引擎的一个漏洞。

CVE-2021-21166 – 3 月 2 日发布,是 Chrome 音频组件中的一个漏洞。

CVE-2021-21193 – 3 月 12 日发布,是一个 use-after-free 漏洞,处在 Chrome 引擎中的 Chromium 中。

CVE-2021-21220 – 4 月 13 日发布,是一个远程代码执行漏洞。

CVE-2021-21224 – 4 月 20 日发布,面向 Chrome V8 的类型混淆漏洞,允许远程攻击者通过设计 HTML 页面,实现在沙箱中远程执行任意代码。

CVE-2021-30551 – 6 月 9 日发布,面向 Google V8 的类型混淆漏洞,主要针对开源 JavaScript 和 WebAssembly 引擎。

CVE-2021-30554 – 6 月 17 日发布,是一个 use-after-free 漏洞。

CVE-2021-30563 – 7 月 15 日发布,是一个面向 V8 的类型混淆漏洞。

CVE-2021-30632 – 9 月 13 日发布,分别是 V8 中的越界写入和 IndexedDB API 中的 use-after-free 漏洞。

CVE-2021-37973 – 9 月 24 日,针对门户网站的一个 use-after-free 漏洞。

CVE-2021-37976 – 9 月 30 日发布,分别是 V8 中的核心信息泄漏和 use-after-free 漏洞。

CVE-2021-38000 – 10 月 28 日发布,分别是面向安卓版 Chrome 浏览器的因输入验证不足导致的不可信漏洞,V8 中的实施不当漏洞。

CVE-2021-4102  – 12 月 13 日发布,V8 中的 use-after-free 漏洞。

本次修复的零日漏洞是Chrome在2022年的第一个漏洞,建议Chrome浏览器的用户们尽快升级到最新版本,以降低被攻击的安全风险。

 

谷歌Chrome浏览器曝已在野利用的零日漏洞,可执行任意代码

极牛网精选文章《谷歌Chrome浏览器曝已在野利用的零日漏洞,可执行任意代码》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18128.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
0x01的头像0x01认证作者
上一篇 2022年2月17日 下午2:50
下一篇 2022年2月19日 上午11:22

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部