Google为包含严重安全问题的Chrome发布紧急更新

Google为包含严重安全问题的Chrome发布紧急更新无论你运行的是Windows、macOS还是Linux发行版，如果你是Chrome用户，现在有一个极其重要的更新需要安装。Google已经为所有三个平台发布了Chrome105.0.5195.102，以解决这个被追踪为CVE-2022-3075的漏洞。这个安全漏洞与Mojo运行库中的数据验证有关，已知已在外部被利用，因此建议用户积极寻求更新。该零日漏洞的补丁是Google今年迄今为止为Chrome浏览器发布的第六个补丁。由于相当明显的原因，该公司没有公布有关该问题的大量信息，该问题已被列为高度严重级别。Google对本次安全更新的描述如下：注意：对错误细节和链接的访问可能会保持限制，直到大多数用户被更新为修复。如果该错误存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。这次更新包括1个安全修复。下面，我们强调了由外部研究人员贡献的修复。更多信息请参见Chrome安全页面。[$TBD][1358134]高CVE-2022-3075:Mojo中数据验证不足。由匿名者于2022-08-30报告我们也要感谢所有在开发周期中与我们合作的安全研究人员，以防止安全漏洞进入稳定通道。我们的许多安全漏洞是通过AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、ControlFlowIntegrity、libFuzzer或AFL检测出来的。Google知道有报告说CVE-2022-3075的漏洞存在于外部。考虑到该缺陷的严重性，再加上已知存在漏洞的事实，Google没有更积极地向用户推送补丁，这有点令人惊讶。Chrome105.0.5195.102的推出现在正在进行中，但这可能需要几周时间才能完成。值得庆幸的是，如果你执行手动检查更新，你将得到这个最新版本--只要打开Chrome菜单，选择帮助>关于Google浏览器。了解更多：https://sites.google.com/a/chromium.org/dev/Home/chromium-security...PC版：https://www.cnbeta.com/articles/soft/1312035.htm手机版：https://m.cnbeta.com/view/1312035.htm

Google发布Chrome 105稳定版更新：修复高危零日漏洞

Google发布Chrome105稳定版更新：修复高危零日漏洞如果你习惯使用Chrome浏览器上网，那么小编推荐你尽快检查下更新。在Google推出的更新中修复了追踪编号为CVE-2022-3075的高危零日漏洞，目前已经有证据表明有黑客利用该漏洞执行攻击。在部分匿名用户于8月30日报告该问题之后，Google立即着手修复该问题。安装本次更新之后，Chrome版本号升至为105.0.5195.102，这也是2022年Google修复的第6个Chrome零日漏洞。此前修复的5个零日漏洞分别为CVE-2022-0609,CVE-2022-1096,CVE-2022-1364,CVE-2022-2294和CVE-2022-2856。目前，关于该漏洞的信息仍然有限，涉及Mojo中的“数据验证不足”。尽管如此，一旦部署完成并且所有用户都免受攻击，Google将发布有关错误详细信息和链接的附加声明。更新将需要几天到几周的时间才能自动推广到每个用户，但您可以通过转到Chrome菜单>帮助>关于GoogleChrome手动完成。PC版：https://www.cnbeta.com/articles/soft/1313085.htm手机版：https://m.cnbeta.com/view/1313085.htm

Google发布Chrome 108浏览器紧急更新以修补零日漏洞

Google发布Chrome108浏览器紧急更新以修补零日漏洞Google的PrudhvikumarBommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。"对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，"Google解释说。"如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。"这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的"关于Chrome"。了解更多技术细节：https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html...PC版：https://www.cnbeta.com.tw/articles/soft/1334283.htm手机版：https://m.cnbeta.com.tw/view/1334283.htm

Google Chrome紧急更新 修复了2023年发现的第6个零日漏洞

GoogleChrome紧急更新修复了2023年发现的第6个零日漏洞该公司表示：“Google意识到CVE-2023-6345的漏洞存在。”该漏洞已在稳定桌面频道中得到解决，修补版本已在全球范围内向Windows用户(119.0.6045.199/.200)以及Mac和Linux用户(119.0.6045.199)推出。通报指出，安全更新可能需要数天或数周的时间才能覆盖整个用户群，但该更新今天已经可用。不想手动更新的用户可以依靠网络浏览器自动检查新更新并在下次启动后安装它们。这种高严重性的零日漏洞源于Skia开源2D图形库中的整数溢出漏洞，带来从崩溃到执行任意代码的风险（Skia还被其他产品用作图形引擎，例如ChromeOS、Android和Flutter）。Google威胁分析小组(TAG)的两名安全研究人员BenoîtSevens和ClémentLecigne于11月24日星期五报告了该漏洞。GoogleTAG因发现零日漏洞而闻名，这种零日漏洞经常被国家资助的黑客组织利用，用于针对记者和反对派政客等知名人士的间谍软件活动。该公司表示，在大多数用户更新浏览器之前，对零日漏洞详细信息的访问将继续受到限制。如果该缺陷还影响尚未修补的第三方软件，那么对错误详细信息和链接的访问限制将会延长。“在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制。如果该错误存在于其他项目类似依赖的第三方库中，但尚未修复，我们也将保留限制，”该公司表示。此举旨在减少威胁行为者利用新发布的有关该漏洞的技术信息开发自己的CVE-2023-6345漏洞的可能性。9月份，Google修复了攻击中利用的另外两个零日漏洞（编号为CVE-2023-5217和CVE-2023-4863），这是自2023年初以来的第四个和第五个零日漏洞。...PC版：https://www.cnbeta.com.tw/articles/soft/1400675.htm手机版：https://m.cnbeta.com.tw/view/1400675.htm

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

GoogleChromev126.0.6478.114/.115正式版发布修复4个高危安全漏洞下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为JavaScriptV8引擎中的类型混淆问题，该漏洞由安全研究人员@0x10n提交，漏洞奖金为20,000美元高危安全漏洞：CVE-2024-6101，为WebAssembly中的不适当实现，该漏洞由安全研究人员@ginggilBesel报告，漏洞奖金为7,000美元高危安全漏洞：CVE-2024-6102，Dawn中的越界内存访问，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn中的Use-after-Free问题，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配CVE编号。使用Chrome浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级：https://dl.lancdn.com/landian/soft/chrome/m/...PC版：https://www.cnbeta.com.tw/articles/soft/1435302.htm手机版：https://m.cnbeta.com.tw/view/1435302.htm

Google 接下来每周都会发布 Chrome 浏览器的稳定版安全更新

Google接下来每周都会发布Chrome浏览器的稳定版安全更新Google在一篇博客文章中说，过去，Google在稳定版Chrome浏览器发布（称为"StableRefresh"）之间会发布一次安全更新，每四周发布一次。与许多浏览器一样，Google使用Chromium开源代码作为Chrome浏览器的基础。Google表示：这种开放性有利于测试修补程序和发现漏洞，但也要付出代价：不怀好意者可能会利用这些修补程序的可视性，开发针对尚未收到修补程序的浏览器用户的漏洞利用程序。这种利用已知安全问题的行为被称为"n-dayexploitation"。这就是为什么我们认为尽快发布安全修复程序以尽量减少这种"补丁间隙"非常重要的原因。与之前每两周发布一次补丁的计划相比，每周发布一次安全更新的举措应能让Google缩小Chome的"补丁差距"：虽然我们无法完全消除n天漏洞利用的可能性，但每周一次的Chrome浏览器安全更新可以让我们平均提前3.5天发布安全修复程序，从而大大减少了n天攻击者开发和利用漏洞攻击潜在受害者的时间，使他们的处境更加艰难。Google表示，如果发现Chome中的安全漏洞在外部被利用，该公司将迅速修复并为浏览器发布计划外补丁。不过，由于现在每周都会发布新的安全更新，Google预计这类计划外更新也会减少。了解更多：https://security.googleblog.com/2023/08/an-update-on-chrome-security-updates.html...PC版：https://www.cnbeta.com.tw/articles/soft/1375845.htm手机版：https://m.cnbeta.com.tw/view/1375845.htm