新加坡计算机应急响应小组 (SingCERT) 周六(11 月 26 日)表示,在收到有关黑客正在利用“零日漏洞”的报告后,谷歌 Chrome 浏览器用户应安装最新的安全更新。 SingCERT 表示,据报道,该漏洞正被“积极利用”。 “成功利用该漏洞可能允许攻击者覆盖应用程序的内存以操纵其执行路径,从而导致不受限制的信息访问或任意代码执行,”它补充说。 建议 Chrome 用户将浏览器升级到适用于 macOS 和 Linux 的版本 107.0.5304.121 和适用于 Windows 的版本 107.0.5304.121/122 以减轻潜在威胁。 “还鼓励用户在 Chrome 中启用自动更新,以确保他们的软件得到及时更新,”SingCERT 说。 还建议使用基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在可用时应用相关修复程序。 谷歌威胁分析小组的 Clement Lecigne 于 11 月 22 日报告了该漏洞。
谷歌在其 Chrome 发布网站上表示:“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。” “如果该错误存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保留限制。” 据技术网站 Bleeping Computer 报道,这是今年攻击中利用的第八个零日漏洞。 谷歌表示,该漏洞是 GPU 中的堆缓冲区溢出。 “攻击者可能会使用堆缓冲区溢出覆盖应用程序的内存来操纵其执行路径,从而导致不受限制的信息访问或任意代码执行,”Bleeping Computer 说。 |
