google昨(14)日发出最新windows、mac及linuxpc机版chrome 100.0.4896.127,以解决一项已经有开采程序的零时差漏洞。
这次紧急修补的是cve-2022-1364,为发生在v8引擎的类型混淆(type confusion)漏洞,是由google威胁分析团队研究人员clément lecigne披露,属于高风险漏洞。google并表示网络上已开始流传针对本漏洞的开采程序。
google并未说明最新漏洞的影响,但此类浏览器漏洞一般可经由诱骗受害者点击恶意网站连接,造成内存缓冲溢出及浏览器宕掉,进而泄露资讯或远程执行任意程序代码。
这是今年初以来第三个chrome的零时差漏洞。google分别在2月中及3月底紧急修补v8引擎中另2个类型混淆漏洞,分别为cve-2022-0609及cve-2022-1096。