Bleeping Computer 網站消息，谷歌發布了適用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127，以解決一個在野被利用高嚴重性零日漏洞(CVE-2022-1364)。

谷歌方面表示，Chrome 瀏覽器的更新版本將在未來幾周內推出。目前，用戶可以進入 Chrome 菜單>幫助>關于谷歌瀏覽器，立即收到更新。另外，瀏覽器也會自動檢查更新，在用戶關閉和重新啟動谷歌瀏覽器時安裝更新版本。

谷歌瀏覽器更新

谷歌方面強調，該漏洞正在被積極利用，強烈建議用戶手動檢查更新并重新啟動瀏覽器應用新版本。

披露的幾個漏洞細節

據悉，谷歌新修復的零日漏洞追蹤為 CVE-2022-1364，是 Chrome V8 JavaScript 引擎中一個高嚴重性類型混淆漏洞，由谷歌威脅分析小組成員 Clément Lecigne 發現。

根據以往經驗來看，攻擊者可以通過類型混淆漏洞讀取或寫入超出緩沖區范圍的內存，導致瀏覽器系統崩潰。除此之外，攻擊者也可以利用該漏洞執行任意代碼。漏洞披露不久后，谷歌方面表示，安全研究人員已經檢測到利用該零日漏洞的網絡攻擊行為，但是沒有提供關于網絡攻擊活動的具體細節。

另外，谷歌強調，對漏洞細節和鏈接的訪問可能會一直受到限制，直到大多數用戶應用更新版本。值得一提的是，CVE-2022-1364 是本次更新中唯一披露的漏洞，側面說明為了解決這個問題，谷歌緊急推出了Chrome 100.0.4896.127版本。

今年修復的第三個 Chome 零日

加上此次更新，2022 年，谷歌已經解決了三個 Chrome 零日漏洞，下面列出了今年發現的另外兩個漏洞 ：

• CVE-2022-1096 - 3月25日
• CVE-2022-0609 - 2月14日

參考文章：

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/