Google日前為桌面版Chrome推出更新,針對性堵塞零時差安全漏洞CVE-2022-1096,一個在開源的V8 JavaScript引擎上的臭蟲,原因是該漏洞已經看到被人利用的跡象,所以迅速作出回應。
Type confusion臭蟲的緊急補丁
在V8 JavaScript引擎上的臭蟲屬於type confusion類,Microsoft以前曾經對這種臭蟲作出定義,而Google對這次的CVE-2022-1096並沒有提供技術詳情,有第三方的研究人員希望能得到更多修復的資訊,方便他們對客戶提供建議。
這次Google為Windows、Mac和Linux版本的Chrome更新至99.0.4844.84,連帶Microsoft以Chromium為基礎的Edge瀏覽器也發出自己的提示,暫時未知同樣內建V8的Node.js是否受到影響。補丁透過緊急形式發放,主要原因有人主動利用該安全漏洞,有研究人員表示今次更新只修復單一問題情況罕見,過往通常一次補丁修復多個問題,這表示Google方面對CVE-2022-1096安全漏洞。
從推出補丁的速度來看支持以上的說法,安全漏洞在3月23日向Google報告,補丁在48小時內經歷開發、測試和推出,如此速度並不常見,可能是有關方面考慮到漏在危險而迅速行動。
V8引擎去年安全漏洞史
其實去年V8已經多次被網絡攻擊者針對,在去會全年總共16個Chrome零時差漏洞中,V8便佔了8個。
- CVE-2021-21148:2月4日
- CVE-2021-21224:4月20日
- CVE-2021-30551:6月9日
- CVE-2021-30563:7月15日
- CVE-2021-30633:9月13日
- CVE-2021-37975:9月30日
- CVE-2021-38003:10月28日
- CVE-2021-4102:12月13日
資料來源:Threat Post
