Google周二(9/27)公布Windows、Linux及Mac版Chrome 106PC机版本更新于稳定信道,修补20项漏洞,包含5项高风险漏洞。
Google最新发布的更新为Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),将在未来几天到几周内部署到用户端。
本月修补的20项漏洞中,Google只公布16项来自外部研究人员通报的漏洞。公布的5项高风险漏洞中有4项为使用已释放内存(Use after free)漏洞,分别位于CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5项高风险漏洞则为对未信任输入资讯的验证不足漏洞,影响Chrome的开发工具(CVE-2022-3201)组件。
以发出的漏洞挖掘奖金金额来判断,5项漏洞最严重的是CVE-2022-3304。根据安全厂商Red Packet Security说明,使用已释放内存可能导致远程攻击者在计算机上执行任意程序代码,或发动拒绝服务(denial of service,DoS)攻击。攻击者可以通过社交工程手法,诱使用户点击连接访问恶意网站来触发这项漏洞。
Google公布的8项中度风险漏洞涵盖使用已释放内存、未信任输入资讯的验证不足漏洞、政策执行不足、安全UI不正确,影响开发工具、Assistant、Import、VPN、全页模式及Logging等组件,以及1项影响Blink组件的形态混淆漏洞。此外还有2项低风险漏洞。
本月没有任何零时差漏洞。
同样的漏洞也会影响Chromium-based浏览器,包括Edge、Brave、Opera、Vivaldi等。微软Edge团队表示正在制作修补程序。