Google于周末对PC机版浏览器Chrome 107发布更新版,以修补一个遭到滥用的高风险漏洞。
Google分别发布Mac及Linux版Chrome 107.0.5304.121,及Windows版Chrome 107.0.5304.121/.122。最新版包含一项安全更新,解决编号CVE-2022-4135的漏洞。
CVE-2022-4135是Chrome GPU组件中的缓冲溢出漏洞,可让远程攻击者发送变造过的恶意HTML网页,破坏浏览器启动的过程,造成沙箱逃逸,而在PC上执行恶意程序。这项漏洞被列为高风险。
最新漏洞为Google威胁分析小组(Google Threat Group)研究人员Clement Lecigne通报,而且Google提醒,已有针对该漏洞的攻击程序。
这是Google修补的第8个PC机版Chrome零时差漏洞。上一个零时差漏洞出现在10月底。
新加坡官方的计算机安全紧急回应小组呼吁,Chromium为基础的浏览器都会受到最新漏洞影响,包括Microsoft Edge、Brave、Opera和Vivaldi等。
微软上周发布Edge最新版107.0.1418.56,但指这个版本解决的是bug及性能更新,不确定是否有修补这项漏洞。