文/林妍溱 | 2022-09-29發表
9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊。
Google周二(9/27)公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道,修補20項漏洞,包含5項高風險漏洞。
Google最新釋出的更新為Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),將在未來幾天到幾周內部署到用戶端。
本月修補的20項漏洞中,Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體(Use after free)漏洞,分別位於CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞,影響 Chrome的開發工具(CVE-2022-3201)元件。
以發出的抓漏獎金金額來判斷,5項漏洞最嚴重的是CVE-2022-3304。根據安全廠商Red Packet Security說明,使用已釋放記憶體可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(denial of service,DoS)攻擊。攻擊者可以透過社交工程手法,誘使用戶點擊連結造訪惡意網站來觸發這項漏洞。
Google公布的8項中度風險漏洞涵括使用已釋放記憶體、未信任輸入資訊的驗證不足漏洞、政策執行不足、安全UI不正確,影響開發工具、Assistant、Import、VPN、全頁模式及Logging等元件,以及1項影響Blink元件的型態混淆漏洞。此外還有2項低風險漏洞。
本月沒有任何零時差漏洞。
同樣的漏洞也會影響Chromium-based瀏覽器,包括Edge、Brave、Opera、Vivaldi等。微軟Edge團隊表示正在製作修補程式。
線