编译:代码卫士
上周五,美国网络安全和基础设施局 (CISA) 督促用户和管理员更新谷歌在上周发布的Chrome 新版本,修复Chrome 浏览器中的七个漏洞。
谷歌在安全公告中说明了四个高风险漏洞,其中三个是由外部研究员报告的。谷歌表示因为大多数用户尚未更新到最新版本 Chrome 102.0.5005.115,因此决定限制对漏洞详情的访问。
CVE-2022-2007 是一个位于 WebGPU 应用编程接口中的释放后使用漏洞,可遭远程利用,影响受影响系统的机密性、完整性和可用性。VulDB 指出,“无需任何形式的认证即可利用,它要求与受害者有一些用户交互。”
谷歌向发现并报告该漏洞的研究员颁发了10000美元的奖励。VulDB 表示,该漏洞的exploit 价格目前在5000到2.5万美元之间,不过后续价格可能会上涨。
谷歌修复的其它三个高危漏洞是:
- CVE-2022-2008:位于 WebGL 中的界外内存访问漏洞,可导致攻击者读取敏感信息。
- CVE-2022-2010:位于Chrome 混合组件中的界外读漏洞。
- CVE-2022-2011:位于Chrome 后端的开源跨平台图形引擎抽象层 ANGLE 中的界外读漏洞。
原文链接
https://www.darkreading.com/vulnerabilities-threats/cisa-encourages-organizations-to-updated-to-latest-chrome-version
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
