從速更新:Google Chrome堵塞已被利用的零時差漏洞

Google日前為桌面版Chrome推出更新,針對性堵塞零時差安全漏洞CVE-2022-1096,一個在開源的V8 JavaScript引擎上的臭蟲,原因是該漏洞已經看到被人利用的跡象,所以迅速作出回應。

Type confusion臭蟲的緊急補丁

在V8 JavaScript引擎上的臭蟲屬於type confusion類,Microsoft以前曾經對這種臭蟲作出定義,而Google對這次的CVE-2022-1096並沒有提供技術詳情,有第三方的研究人員希望能得到更多修復的資訊,方便他們對客戶提供建議。

這次Google為Windows、Mac和Linux版本的Chrome更新至99.0.4844.84,連帶Microsoft以Chromium為基礎的Edge瀏覽器也發出自己的提示,暫時未知同樣內建V8的Node.js是否受到影響。補丁透過緊急形式發放,主要原因有人主動利用該安全漏洞,有研究人員表示今次更新只修復單一問題情況罕見,過往通常一次補丁修復多個問題,這表示Google方面對CVE-2022-1096安全漏洞。

從推出補丁的速度來看支持以上的說法,安全漏洞在3月23日向Google報告,補丁在48小時內經歷開發、測試和推出,如此速度並不常見,可能是有關方面考慮到漏在危險而迅速行動。

V8引擎去年安全漏洞史

其實去年V8已經多次被網絡攻擊者針對,在去會全年總共16個Chrome零時差漏洞中,V8便佔了8個。

資料來源:Threat Post