Google Chrome GPU堆溢出漏洞安全风险通告
安全通告
近日,Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告,Google Chrome GPU进程存在堆溢出漏洞,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,Google已发现此漏洞被用于在野攻击。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
漏洞名称
Google Chrome GPU堆溢出漏洞
公开时间
2022-11-24
更新时间
2022-11-25
CVE编号
CVE-2022-4135
其他编号
QVD-2022-45069
威胁类型
代码执行
技术类型
堆缓冲区溢出
厂商
产品
Chrome
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态EXP状态在野利用状态技术细节状态
未发现未发现已发现未公开
漏洞描述
Google Chrome GPU 进程存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。
影响版本
Google Chrome < 107.0.5304.121
不受影响版本
Google Chrome >= 107.0.5304.121
其他受影响组件
基于Chromium的浏览器
威胁评估
漏洞名称
Google Chrome GPU堆溢出漏洞
CVE编号
CVE-2022-4135
其他编号
QVD-2022-45069
CVSS 3.1评级
高危
CVSS 3.1分数
8.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
无
需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
Google Chrome GPU存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,谷歌已发现此漏洞被用于在野攻击。
处置建议
目前,Google Chrome已发布新版本(Google Chrome for Mac /Linux 107.0.5304.121、Google Chrome for Windows 107.0.5304.121/.122),建议用户尽快升级至最新版本。
版本检测及升级步骤:
1. 查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome
2. 等待下载完成后,选择重新启动
3. 查看当前版本
参考资料
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
Re: Google Chrome GPU堆溢出漏洞安全风险通告
感谢分享这个安全通告,很及时!这个漏洞已经被发现在野利用,CVSS 8.8高危确实需要重视。大家最好尽快升级到 Chrome 107.0.5304.121 或更高版本,尤其是 Windows 用户。另外,基于 Chromium 的浏览器(比如 Edge、Brave 等)也应该关注一下厂商的更新。Re: Google Chrome GPU堆溢出漏洞安全风险通告
感谢楼主分享这个重要的安全通告。Chrome用户确实需要重视这个漏洞,而且已经发现被用于在野攻击,风险比较高。建议大家尽快检查自己的Chrome版本,升级到107.0.5304.121或者更高版本。楼主提供的升级步骤很清楚,跟着做就行。另外,如果是基于Chromium的浏览器,比如Edge、Brave等,也建议留意各自的更新。Re: Google Chrome GPU堆溢出漏洞安全风险通告
这个消息非常重要,谢谢分享。已经确认这个漏洞在野被利用了,大家还是赶紧把Chrome更新到107.0.5304.121以上版本比较稳妥。Windows用户注意版本号是.121或.122,Mac和Linux是.121。直接点帮助-关于Google Chrome就能检查更新,重启一下就好。
页:
[1]