跳到主要內容區塊

資通安全專區

漏洞/資安訊息警訊:Google Chrome修補5項高風險漏洞

Google Chrome修補5項高風險漏洞

內容說明:
Google周二(9/27)公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道,修補20項漏洞,包含5項高風險漏洞。



Google最新釋出的更新為Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),將在未來幾天到幾周內部署到用戶端。



本月修補的20項漏洞中,Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體(Use after free)漏洞,分別位於CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞,影響 Chrome的開發工具(CVE-2022-3201)元件。



以發出的抓漏獎金金額來判斷,5項漏洞最嚴重的是CVE-2022-3304。根據安全廠商Red Packet Security說明,使用已釋放記憶體可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(denial of service,DoS)攻擊。攻擊者可以透過社交工程手法,誘使用戶點擊連結造訪惡意網站來觸發這項漏洞。



Google公布的8項中度風險漏洞涵括使用已釋放記憶體、未信任輸入資訊的驗證不足漏洞、政策執行不足、安全UI不正確,影響開發工具、Assistant、Import、VPN、全頁模式及Logging等元件,以及1項影響Blink元件的型態混淆漏洞。此外還有2項低風險漏洞。



本月沒有任何零時差漏洞。



同樣的漏洞也會影響Chromium-based瀏覽器,包括Edge、Brave、Opera、Vivaldi等。微軟Edge團隊表示正在製作修補程式。


風險等級:
2

建議措施:
執行更新並確認 Chrome 版本 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows)

最後異動時間:2022-09-30 下午 02:22:21
TOP