Google Chrome GPU堆溢出漏洞安全风险通告

安全通告

近日，Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告，Google Chrome GPU进程存在堆溢出漏洞，成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前，Google已发现此漏洞被用于在野攻击。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。

漏洞名称	Google Chrome GPU堆溢出漏洞
公开时间	2022-11-24	更新时间	2022-11-25
CVE编号	CVE-2022-4135	其他编号	QVD-2022-45069
威胁类型	代码执行	技术类型	堆缓冲区溢出
厂商	Google	产品	Chrome
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	已发现	未公开
漏洞描述	Google Chrome GPU 进程存在堆溢出漏洞，利用此漏洞需要用户交互，成功利用此漏洞可导致在应用程序上下文中执行任意代码。
影响版本	Google Chrome < 107.0.5304.121
不受影响版本	Google Chrome >= 107.0.5304.121
其他受影响组件	基于Chromium的浏览器

威胁评估

漏洞名称	Google Chrome GPU堆溢出漏洞
CVE编号	CVE-2022-4135	其他编号		QVD-2022-45069
CVSS 3.1评级	高危	CVSS 3.1分数		8.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	Google Chrome GPU存在堆溢出漏洞，利用此漏洞需要用户交互，成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前，谷歌已发现此漏洞被用于在野攻击。

处置建议

目前，Google Chrome已发布新版本（Google Chrome for Mac /Linux 107.0.5304.121、Google Chrome for Windows 107.0.5304.121/.122），建议用户尽快升级至最新版本。

版本检测及升级步骤：

1．        查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome



2．        等待下载完成后，选择重新启动



3．        查看当前版本



参考资料

[1]https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html