在上一次更新仅两天后,谷歌上周五推送了紧急 Chrome 更新,以处理一个已经在野外被利用的零日漏洞。如果您使用 Chrome,更新过程是自动的;您只需在提示时重启浏览器即可生效。像 Microsoft Edge、Brave、Opera 和 Vivaldi 这样的其他基于 Chromium 的浏览器用户也应该留意更新。出于安全原因,谷歌对此保持沉默,但以下是我们所了解的。
该漏洞——被起的绰号是 CVE-2022-3075——于 8 月 30 日才被一位匿名安全研究人员引起谷歌的注意。该公司在 9 月 2 日推送紧急安全更新,足以说明根本问题的严重性。上一次更新——恰巧在 8 月 30 日发布——修补了 24 个安全问题,包括另一个重要的零日漏洞,因此谷歌感到有必要立即发布更新来解决单个漏洞,这是一件大事。这是谷歌今年修补的第六个零日漏洞。
据谷歌称,CVE-2022-3075 涉及 Chromium 中“数据验证不足”,Mojo 是 Chromium 中的一组重要的低级例程,而 Chromium 是 Google Chrome 使用的浏览器引擎。它被列为“严重”漏洞,这意味着利用该漏洞的攻击者很可能能够严重破坏您的浏览器或计算机。根据漏洞的不同,这可能意味着可以窃取密码或信用卡详细信息、在您的系统上安装恶意软件,以及进行其他非常糟糕的操作。这些都是电影中的黑客(或为国家政府工作的黑客)使用的攻击类型。
[相关:您需要保护自己免受零点击攻击]
目前,谷歌在大部分 Chrome 用户安全之前,对该漏洞的许多细节保持沉默。如果它正在被利用,谷歌不希望突出它对不良行为者的有用性。匿名研究员的漏洞奖励金尚未公布,但可能高达 150,000 美元。
[相关:“合并”正在发生。对于加密货币领域的人们来说,这意味着什么。]
这次紧急更新已将 Chrome 升级到 Windows、Mac 和 Linux 上的 105.0.5195.102 版本,已在过去几天内推出。您可以通过转到更多(三个小点)>帮助>关于 Chrome 来检查您当前使用的 Chrome 版本。更新应自动下载,但您需要重启浏览器才能完全安装。如果您在浏览器右上角看到“更新”按钮,请点击它。这是一个重要的安全更新,值得立即安装。
如果您使用 Microsoft Edge、Brave、Opera 和 Vivaldi 等其他基于 Chromium 的浏览器,也应尽快更新。这四款浏览器都有可用的更新,可以防止该漏洞的利用。
