一、漏洞详情
google chrome是google(谷歌)公司开发的web浏览器。
google推出紧急修复程序,修复了chrome web浏览器中一个已被利用的0 day漏洞(cve-2022-3075),该漏洞的细节目前暂且公开披露。
mojo是一个runtime库集合,有助于跨任意进程间和进程内边界的传递消息。该漏洞是由于mojo中的数据验证不足导致的,成功利用此漏洞可能导致绕过某些安全限制或执行任意代码。
cve-2022-3075是google chrome 2022年修复的第6个被利用的0 day漏洞,其它5个漏洞分别为:
cve-2022-0609:animation中的use-after-free
cve-2022-1096:v8中的类型混淆
cve-2022-1364:v8中的类型混淆
cve-2022-2294:webrtc中的堆缓冲区溢出
cve-2022-2856:intents中不受信任的输入验证不足
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
google chrome desktop(windows/mac/linux)< 105.0.5195.102
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
google chrome desktop(windows/mac/linux)>= 105.0.5195.102
在线更新:可在chrome菜单-【帮助】-【关于google chrome】检查版本更新,并在更新完成后重新启动。
下载更新:https://www.google.com/chrome/
