據 Bleeping Computer 網站消息，谷歌發布了適用于 Windows、Mac 和 Linux 的更新版本Chrome 99.0.4844.84，以解決一個在野被利用的高嚴重性零日漏洞。

上周，谷歌發布安全公告稱，研究人員發現一個在野被利用高危零日漏洞，追蹤為 CVE-2022-1096，已經更新版本以解決漏洞問題。Chrome 新版本 99.0.4844.84 已經向全球推出，可能需要幾周時間即可覆蓋整個用戶群體。

需要更新的用戶可以進入 Chrome 菜單，查找關于谷歌瀏覽器更新版本，進行更新。另外，網絡瀏覽器還將自動檢查新的更新，并在下次啟動時自動安裝。

漏洞細節未披露

據悉，該零日漏洞(CVE-2022-1096)由一位匿名安全人員發現，是 Chrome V8 JavaScript 引擎的一個高嚴重性的類型混淆漏洞。

類型混淆漏洞通常會在成功利用后，導致瀏覽器崩潰。通過讀取或寫入超出緩沖區的內存，攻擊者也可以利用它們來執行任意代碼。

值得一提的是，盡管谷歌表示已經在野外檢測到利用這一零日漏洞的攻擊事件，但沒有分享有關這些事件的技術細節或其他信息。

谷歌方面表示，公司會對用戶訪問錯誤的鏈接進行限制，直到大多數用戶更新到最新版本。如果該漏洞存在于其他項目同樣依賴的第三方庫中，在尚未修復之前，也將保留限制。

今年修補了第二個 Chrome 零日漏洞

2022 年以來，谷歌已經發現并解決了 2 個 Chrome 零日漏洞，另外一個漏洞追蹤為 CVE-2022-0609，已經在上月發布了更新補丁。

CVE-2022-0609 零日漏洞是 Animation 中的免費使用問題，該漏洞是由谷歌威脅分析小組的 Adam Weidemann 和 Clément Lecigne 報告。

谷歌威脅分析小組(TAG)透露，某些具有國家背景的黑客組織在補丁發布前幾周，就已經利用了 CVE-2022-0609 零日漏洞，最早的主動利用跡象可以追溯到 2022年 1 月 4 日。

參考文章：https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/