Google Chrome修補5項高風險漏洞

Google周二（9/27）公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道，修補20項漏洞，包含5項高風險漏洞。

為Chrome 106.0.5249.61（Mac/Linux）及106.0.5249.61/62（Windows），將在未來幾天到幾周內部署到用戶端。

本月修補的20項漏洞中，Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體（Use after free）漏洞，分別位於CSS（CVE-2022-3304）、Media（CVE-2022-3307），以及Survey（CVE-2022-3305及CVE-2022-3306）。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞，影響 Chrome的開發工具（CVE-2022-3201）元件。

以發出的抓漏獎金金額來判斷，5項漏洞最嚴重的是CVE-2022-3304。，使用已釋放記憶體可能導致遠端攻擊者在電腦上執行任意程式碼，或發動阻斷服務（denial of service，DoS）攻擊。攻擊者可以透過社交工程手法，誘使用戶點擊連結造訪惡意網站來觸發這項漏洞。

Google公布的8項中度風險漏洞涵括使用已釋放記憶體、未信任輸入資訊的驗證不足漏洞、政策執行不足、安全UI不正確，影響開發工具、Assistant、Import、VPN、全頁模式及Logging等元件，以及1項影響Blink元件的型態混淆漏洞。此外還有2項低風險漏洞。

本月沒有任何零時差漏洞。

同樣的漏洞也會影響Chromium-based瀏覽器，包括Edge、Brave、Opera、Vivaldi等。。

https://www.ithome.com.tw/news/153331