谷歌和蘋果幾乎同時修正了駭客在其軟體中利用的一系列零日漏洞。因此,強烈建議用戶更新受影響的產品。
因此,Google剛剛發布了針對 Chrome 瀏覽器中 11 個安全漏洞的補丁,其中包括一個嚴重程度的漏洞,不幸的是,該漏洞已被廣泛利用。此錯誤 (CVE-2022-2856) 位於「意圖」模組中,該模組可讓您根據特定上下文對操作進行程式設計。範例:從網頁啟動應用程式。問題是該模組操作的資料在收到時沒有充分驗證,因此可能包含惡意程式碼。這並沒有逃脫某些海盜的追捕。
谷歌沒有提供有關此零日漏洞的任何進一步細節,但 Sophos 的安全研究人員有自己的想法。“如果已知的漏洞涉及悄悄地向本地應用程式提供通常出於安全原因而被阻止的風險數據,那麼危險似乎相當明顯”,編輯在部落格中寫道。
這是自今年年初以來谷歌第五次糾正其瀏覽器中的零日漏洞。這次該公司不必支付獎金,因為這個缺陷是由谷歌威脅分析小組的兩名工程師發現的。若要檢查您的瀏覽器是否是最新的,請前往「說明→關於 Google Chrome」。您應該會看到大於或等於 104.0.5112.101 的版本號。
WebKit 中的遠端任意程式碼執行
就蘋果而言,由於駭客積極利用的兩個零日漏洞,蘋果緊急發布了 iOS、macOS 和 iPadOS 的更新。第一個 (CVE-2022-32894) 是由記憶體寫入錯誤引起的,並且允許使用核心權限執行任意程式碼。第二個 (CVE-2022-32893) 也是一個記憶體寫入錯誤,但在 WebKit 中。據蘋果公司稱,此缺陷將允許創建能夠在瀏覽器中執行任意程式碼的惡意網頁內容。因此,這尤其令人擔憂。
受這兩個缺陷影響的裝置是 iPhone 6s 或更高版本、iPadPro、iPad Air 2 及更高版本、iPad 5e一代及更高版本、iPad mini 4 及更高版本以及 iPod Touch (7e一代)。為了安全起見,請檢查您是否擁有 iOS 15.6.1、iPadOS 15.6.1 和 macOS Monterey 12.5.1 版本。
來源 : 登記冊
