Google发布Chrome 108浏览器紧急更新以修补零日漏洞

Google发布Chrome108浏览器紧急更新以修补零日漏洞Google的PrudhvikumarBommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。"对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，"Google解释说。"如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。"这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的"关于Chrome"。了解更多技术细节：https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html...PC版：https://www.cnbeta.com.tw/articles/soft/1334283.htm手机版：https://m.cnbeta.com.tw/view/1334283.htm

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】2023年04月17日10点58分4月17日消息，Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞（CVE编号：CVE-2023-2033），利用该漏洞，受害者只要浏览了攻击者精心构造的恶意页面，攻击者即可在受影响的设备上执行任意代码，所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等，建议立即升级以避免被攻击。如果使用的是诸如MicrosoftEdge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话，也需要升级至带有最新版本。（SecurityOnline）

Google 接下来每周都会发布 Chrome 浏览器的稳定版安全更新

Google接下来每周都会发布Chrome浏览器的稳定版安全更新Google在一篇博客文章中说，过去，Google在稳定版Chrome浏览器发布（称为"StableRefresh"）之间会发布一次安全更新，每四周发布一次。与许多浏览器一样，Google使用Chromium开源代码作为Chrome浏览器的基础。Google表示：这种开放性有利于测试修补程序和发现漏洞，但也要付出代价：不怀好意者可能会利用这些修补程序的可视性，开发针对尚未收到修补程序的浏览器用户的漏洞利用程序。这种利用已知安全问题的行为被称为"n-dayexploitation"。这就是为什么我们认为尽快发布安全修复程序以尽量减少这种"补丁间隙"非常重要的原因。与之前每两周发布一次补丁的计划相比，每周发布一次安全更新的举措应能让Google缩小Chome的"补丁差距"：虽然我们无法完全消除n天漏洞利用的可能性，但每周一次的Chrome浏览器安全更新可以让我们平均提前3.5天发布安全修复程序，从而大大减少了n天攻击者开发和利用漏洞攻击潜在受害者的时间，使他们的处境更加艰难。Google表示，如果发现Chome中的安全漏洞在外部被利用，该公司将迅速修复并为浏览器发布计划外补丁。不过，由于现在每周都会发布新的安全更新，Google预计这类计划外更新也会减少。了解更多：https://security.googleblog.com/2023/08/an-update-on-chrome-security-updates.html...PC版：https://www.cnbeta.com.tw/articles/soft/1375845.htm手机版：https://m.cnbeta.com.tw/view/1375845.htm

Wallet Guard：Chrome 浏览器出现零日漏洞，请立即更新

WalletGuard：Chrome浏览器出现零日漏洞，请立即更新Web3安全机构WalletGuard发文表示，Chrome浏览器出现零日漏洞CVE-2023-7024，立即更新您的Chrome浏览器（Brave、Opera、Edge等），Google已发布紧急更新以解决此零日漏洞。该漏洞是由于开源WebRTC框架中的堆缓冲区溢出漏洞造成的，许多网络浏览器（如MozillaFirefox、Safari和MicrosoftEdge）通过JavaScriptAPI提供实时通信(RTC)功能（如视频流、文件共享和VoIP电话）。Google表示，在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制。如果其他项目同样依赖但尚未修复的第三方库中存在该错误，我们还将保留限制。

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞1月15日消息，网络安全公司ImpervaRed近日披露了存在于Chrome/Chromium浏览器上的漏洞细节，并警告称全球超过25亿用户的数据面临安全威胁。该公司表示，这个追踪编号为CVE-2022-3656的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。ImpervaRed将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。ImpervaRed表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。在GoogleChrome的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。博文中写道：“这些密钥实际上是一个zip文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。ImpervaRed表示，它已将该漏洞通知谷歌，该问题已在Chrome108中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。src:果核剥壳