谷歌表示此 Chrome 更新将在接下来的几天/几周内推出,但用户可以通过进入 Chrome 菜单 > 帮助 > 关于 Google Chrome立即收到更新。浏览器会在您下次关闭并重新启动 Google Chrome 时自动检查新更新并安装它们。
值得留意的是,美国网络安全和基础设施安全局(CISA)已将该漏洞加入到了“积极利用漏洞列表”,根据此前通过的法案,所有联邦民事行政部门机构必须在三周之内对该漏洞做出修复。CISA也敦促道,鉴于漏洞的危害程度,也建议私营机构尽快做出修复工作。
该漏洞是由谷歌威胁分析小组的 Clément Lecigne 发现,虽然谷歌表示他们已经检测到在野利用,但他们没有提供有关攻击是如何进行的更多细节。我们已知的也仅限于此次修复的零日漏洞被跟踪为 CVE-2022-1364,是 Chrome V8 JavaScript 引擎中的一个高严重性类型混淆漏洞。
“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制,”谷歌补充道。这是本月安全更新中唯一披露的漏洞,表明 Chrome 100.0.4896.127 已作为紧急更新推出以解决此问题,也进一步说明了漏洞的危害严重性。
据进一步了解,通过此次更新,谷歌解决了自 2022 年初以来的第三次 Chrome 零日漏洞。2022 年发现的前两个零日漏洞分别是:CVE-2022-1096 - 3 月 25 日,CVE-2022-0609 - 2 月 14 日。
此前谷歌发布2021年漏洞奖励计划详情显示,过去一年Chrome VRP再次创造了新纪录,115名Chrome研究人员因2021年提交的333份安全漏洞报告而获得奖励,总金额达330万美元。谷歌2021年VRP总奖励高达870万美元,在2020年该数字仅为670万美元。
京公网安备 11010802033237号
