谷歌发布紧急Chrome更新以修补被积极利用的零日漏洞

谷歌周五发布了一个带外安全更新，以解决其Chrome浏览器中的一个严重安全漏洞，谷歌称该漏洞正在被广泛利用。

追踪为CVE-2022-1096，零日缺陷与V8 JavaScript引擎中的类型混淆漏洞有关。一位匿名研究人员在2022年3月23日报告了该漏洞。

类型混淆错误，当资源（例如，变量或对象）使用与最初初始化不兼容的类型访问时，可能会出现与C和C++不安全的语言，从而使恶意的参与者执行越界内存访问的严重后果。

MITRE的公共弱点枚举（CWE）解释说：“当使用错误的类型访问内存缓冲区时，如果分配的缓冲区小于代码试图访问的类型，它可能会读取或写入超出缓冲区边界的内存，从而导致崩溃，并可能导致代码执行。”。

这家科技巨头承认，它“意识到CVE-2022-1096的漏洞存在于野外”，但没有分享更多细节，以防止进一步的漏洞利用，直到大多数用户更新了修复程序。

CVE-2022-1096是谷歌自年初以来在Chrome上解决的第二个零日漏洞，第一个是CVE-2022-0609，这是动画组件中的一个释放后使用漏洞，于2022年2月14日修补。

本周早些时候，谷歌的威胁分析小组（TAG）披露了朝鲜民族国家组织发起的一场双重行动的细节，该行动将该漏洞武器化，以打击美国新闻媒体、IT、加密货币和金融科技行业的组织。

强烈建议Google Chrome用户更新至Windows、Mac和Linux的最新版本99.0.4844.84，以缓解任何潜在威胁。基于Chromium的浏览器（如Microsoft Edge、Opera和Vivaldi）的用户也被建议在可用时应用修复程序。