谷歌和苹果几乎同时纠正了黑客在其软件中利用的一系列零日漏洞。因此,强烈建议用户更新受影响的产品。
因此,谷歌刚刚发布了针对 Chrome 浏览器中 11 个安全漏洞的补丁,其中包括一个严重级别的漏洞,不幸的是,该漏洞已被广泛利用。此错误 (CVE-2022-2856) 位于“意图”模块中,该模块允许您根据特定上下文对操作进行编程。示例:从网页启动应用程序。问题是该模块操作的数据在收到时没有得到充分验证,因此可能包含恶意代码。这并没有逃脱某些海盗的追捕。
谷歌没有提供有关此零日漏洞的任何进一步细节,但 Sophos 的安全研究人员有自己的想法。“如果已知的漏洞涉及悄悄地向本地应用程序提供通常出于安全原因而被阻止的风险数据,那么危险似乎相当明显”,编辑在博客中写道。
这是自今年年初以来谷歌第五次纠正其浏览器中的零日漏洞。这次该公司不必支付奖金,因为这个缺陷是由谷歌威胁分析小组的两名工程师发现的。要检查您的浏览器是否是最新的,请转到“帮助→关于 Google Chrome”。您应该看到大于或等于 104.0.5112.101 的版本号。
WebKit 中的远程任意代码执行
就苹果而言,由于黑客积极利用的两个零日漏洞,苹果紧急发布了 iOS、macOS 和 iPadOS 的更新。第一个 (CVE-2022-32894) 是由内存写入错误引起的,并且允许使用内核权限执行任意代码。第二个 (CVE-2022-32893) 也是一个内存写入错误,但在 WebKit 中。据苹果公司称,此缺陷将允许创建能够在浏览器中执行任意代码的恶意网页内容。因此,这尤其令人担忧。
受这两个缺陷影响的设备是 iPhone 6s 或更高版本、iPadPro、iPad Air 2 及更高版本、iPad 5e一代及更高版本、iPad mini 4 及更高版本以及 iPod Touch (7e一代)。为了安全起见,请检查您是否拥有 iOS 15.6.1、iPadOS 15.6.1 和 macOS Monterey 12.5.1 版本。
来源 : 登记册
