某方面而言可能反應出了最近的相關的漏洞攻擊真的越來越猖獗。又或者是隨著功能越來越強大多元 Google Chrome 終究也顯露出了更多弱點。但更多的,應該是隨著這樣的瀏覽器核心技術被廣為運用,駭客等有心人士自然會投注更多的「關注」,在這個熱門的瀏覽器之上。總之, 快更新!Google Chrome 今年第 7 個零時差漏洞修正來了。別說我們沒給大家提醒!
快更新!Google Chrome 今年第 7 個零時差漏洞修正來了
由於看到這樣的資訊常常出現在新聞標題,所以大家都會誤以為是舊聞,所以特別放上了「(已知)次數」的資訊。就是希望讓各位知道,雖然每次好像看到都是零時差攻擊的修正,不過其實隨著 Google Chrome 受歡迎的程度日漸增加,成為有心組織或駭客主要攻擊目標之一的機率自然也很難下降。關於這點應該是必須要習慣,並且需要時時注意瀏覽器是否有更新到最新的版本以避免受害!
做為資安議題中,目前越來越常見的零日攻擊 / 零日漏洞 / 零時差漏洞 / 零時差攻擊(Zero-Day Vulnerability / 0-day Vulnerability)。就定義上,是駭客利用尚未修補漏洞的攻擊方式,同時也因為具備有一定利用價值的關係,也成為了國家單位間諜網軍瞄準利用的目標。這樣的問題考驗的是廠商是否有能力快速修補來盡可能降低這類手法所造成的傷害。
而在這樣「各種搶時間」的狀態下,既然修補更新都已經儘速給使用者端上了,個人認為真的一看到有這樣的更新,都是推薦大家必須盡快安裝以避免任何資安問題的意外發生。
Google 近日就針對 Chrome 桌面版使用者釋出了零日攻擊的緊急修補更新 CVE-2022-3723(應用版本為 107.0.5304.87/88)。修正了在 Chrome V8 Javascript 引擎中被資安單位 Avast 所發現的 Type Confusion Vulnerability Bug 問題。據報將可能導致應用以不相容類型分配資源時導致記憶體存取越界(out-of-bounds memory access)的狀況。
這個在 10/25 回報的零日漏洞則是很快就在今日釋出了相關的修正更新。而根據外媒觀察,加上這次的漏洞已經是今年以來第 7 個 Chrome 的零日漏洞了。其餘幾次分別為:
CVE-2022-3075
CVE-2022-2856
CVE-2022-2294
CVE-2022-1364
CVE-2022-1096
CVE-2022-0609
更新釋出的範圍則為 2 月到 9 月之間。不得不說,隨著 Chrome 越來越熱門,真的建議大家可以多多注意相關的更新,並且盡快進行安裝以避免有心人士利用漏洞造成相關損失。別等了,快去巡一下 Chrome 的更新資訊並安裝吧!