近期，谷歌發(fā)布公告，稱(chēng)已經(jīng)為Windows用戶(hù)發(fā)布了Chrome 103.0.5060.114更新，以解決在野被攻擊者利用的高嚴(yán)重性零日漏洞，這也是2022年谷歌修補(bǔ)的第四個(gè) Chrome 零日漏洞。目前103.0.5060.114版本正在全球范圍內(nèi)的Stable Desktop頻道推出，谷歌表示它需要幾天或幾周的時(shí)間才能觸達(dá)整個(gè)用戶(hù)群。

按照提示，BleepingComputer進(jìn)入Chrome 菜單>幫助>關(guān)于 Google Chrome 檢查新更新時(shí)，發(fā)現(xiàn)更新立即可用。同時(shí)Web瀏覽器還將自動(dòng)檢查新更新并在下次啟動(dòng)后自動(dòng)安裝它們。

上周五，Avast威脅情報(bào)團(tuán)隊(duì)的Jan Vojtesek報(bào)告說(shuō)，近期修復(fù)的零日漏洞(編號(hào)為CVE - 222 -2294)是WebRTC (Web實(shí)時(shí)通信)組件中一個(gè)嚴(yán)重的基于堆的緩沖區(qū)溢出漏洞。

盡管谷歌表示這個(gè)零日漏洞在野被利用，但該公司尚未分享技術(shù)細(xì)節(jié)或有關(guān)這些事件的任何信息。谷歌表示：“在大多數(shù)用戶(hù)更新修復(fù)之前，對(duì)錯(cuò)誤詳細(xì)信息和鏈接的訪問(wèn)可能會(huì)受到限制。如果漏洞存在于第三方中，在尚未修復(fù)之前，我們也會(huì)保留限制?！庇捎谟嘘P(guān)攻擊的詳細(xì)信息延遲發(fā)布，Chrome用戶(hù)有足夠的時(shí)間來(lái)更新和防止利用嘗試，直到 Google 提供更多詳細(xì)信息。

通過(guò)此次更新，谷歌解決了自年初以來(lái)的第四次 Chrome 零日問(wèn)題，而在這之前發(fā)現(xiàn)并修補(bǔ)的前三個(gè)零日漏洞分別是：

• CVE-2022-1364  - 4 月 14 日
• CVE-2022-1096  - 3 月 25 日
• CVE-2022-0609  - 2 月 14 日

根據(jù)谷歌威脅分析組 (TAG)的說(shuō)法，2月份修復(fù)的CVE-2022-0609在2月補(bǔ)丁發(fā)布前幾周被朝鮮支持的國(guó)家黑客利用，最早的在野漏洞利用是在今年1月4日發(fā)現(xiàn)的。它被兩個(gè)朝鮮資助的威脅組織所利用，并通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件、使用虛假的工作誘餌和提供隱藏iframes服務(wù)的網(wǎng)站來(lái)傳播惡意軟件。最后，對(duì)于此次漏洞，谷歌方面建議用戶(hù)盡快安裝最新的谷歌瀏覽器更新。