google和微软上周分别发布最新版chrome及edge,以修补浏览器中一个已经有开采活动的高风险漏洞。
google表示,windows、macos及linux三个主要平台的chrome稳定信道已经更新到版本105.0.5195.102,将在未来几天或几周内部署到用户端,呼吁用户尽快安装。
google说明,新版本修补编号cve-2022-3075的高风险漏洞,出于mojo的资料验证不足。mojo是chromium中用于进程间或进程内模块间通信(ipc)的runtime函数库。新漏洞8月底由外部研究人员通报,google没有多做解释细节,只说得知网络上已出现针对cve-2022-3075的开采程序。
这项漏洞也会影响chromium为核心的edge浏览器。为此,微软也发布edge最新版105.0.1343.27版。事实上,新加坡网络安全主管机关警告,基于chromium的浏览器包括brave、opera和vivaldi都已更新到最新版本。
google也曾在2020年4月修补了mojo组件的沙箱逃逸漏洞,能让攻击者在chrome用户计算机上执行恶意程序代码。而这也是chrome今年修补的第6个零时差漏洞,其他漏洞分别在2、3、4、7、8月安全更新中修补。
google上周才被安全厂商lapcat software披露,在chrome 104版存在一个可让恶意网站在不需用户同意下复写系统剪贴板内容的漏洞。不过本漏洞还未获得google的证实。