更新Google Chrome浏览器以修补在野外检测到的新零日漏洞

谷歌周一发布了安全更新，以解决其Chrome网络浏览器中的一个高严重性零日漏洞，谷歌称该漏洞正在被广泛利用。

缺点，跟踪为CVE-2022-2294，与WebRTC组件中的堆溢出缺陷有关，该组件在浏览器中提供实时音频和视频通信功能，无需安装插件或下载本机应用程序。

当内存堆区域中的数据被覆盖时，会发生堆缓冲区溢出，也称为堆溢出或堆粉碎，从而导致任意代码执行或拒绝服务（DoS）情况。

MITRE解释说：“基于堆的溢出可用于覆盖内存中可能存在的函数指针，将其指向攻击者的代码”。“当结果是任意代码执行时，这通常可用于破坏任何其他安全服务”。

2022年7月1日，Avast威胁情报团队的Jan Vojtesek报告了该漏洞。值得一提的是，这个bug也影响了Android版本的Chrome。

CVE-2022-2294也标志着Chrome自年初以来第四个零日漏洞的解决-

• CVE-2022-0609，在动画中释放后使用
• CVE-2022-1096，V8中的类型混淆
• CVE-2022-1364，V8中的类型混淆

建议用户将Windows、macOS和Linux版本更新为103.0.5060.114，Android版本更新为103.0.5060.71，以缓解潜在威胁。基于Chromium的浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也被建议在可用时应用修复程序。

此前不久，谷歌零号项目（Google Project Zero）发布了一份报告，其中指出，今年迄今为止，共有18个安全漏洞被利用为未修补的零日漏洞。