内存安全周报第85期 | 谷歌紧急修复Chrome中的0day漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1. 谷歌紧急修复Chrome中的0day漏洞(3.25)
谷歌为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个严重0day漏洞(CVE-2022-1096)。
详细情况
该漏洞(CVE-2022-1096)是一个匿名安全研究人员报告的Chrome V8 JavaScript引擎中的严重类型混淆漏洞。虽然类型混淆缺陷通常会导致浏览器崩溃,在成功地读取或写入超出缓冲区边界的内存之后,攻击者也可以利用它们执行任意代码。
谷歌表示,99.0.4844.84版本已经通过稳定桌面频道在全球范围内推出,可能需要几周时间才能到达整个用户群。尽管谷歌发现了对该漏洞的在野利用,但并未透露更多相关技术细节或其他信息。
通过这次更新,谷歌解决了自2022年开始以来Chrome中的第二个0day漏洞,另一个为CVE-2022-0609,已于上个月修复。谷歌威胁分析小组(TAG)透露,朝鲜背景的黑客在2月CVE-2022-0609漏洞补丁发布前曾利用该漏洞,通过网络钓鱼电子邮件,攻击了美国新闻媒体和IT行业等组织。
参考链接
https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/?&web_view=true
2. 趋势科技修复Apex Central中被利用的0day漏洞(4.1)
趋势科技(Trend Micro)本周发布了针对Apex Central中一个严重任意文件上传漏洞的补丁,该漏洞已被一些疑似定向的攻击所利用。
详细情况
该安全漏洞为CVE-2022-26871 (CVSS得分8.6),由趋势科技自己的研究团队发现。该漏洞同时影响了本地部署版本和软件即服务(SaaS)版本的集中式管理控制台。
趋势科技公司解释称,这个安全漏洞将允许未经身份验证的攻击者远程上传任意文件,这可能导致远程代码执行。
该公司给出的建议中指出,已经观察到至少一起疑似恶意利用该漏洞给的攻击尝试,但没有提供这些攻击的具体信息。
周四,美国网络安全和基础设施安全局(CISA)将该漏洞与其他几个安全问题,包括Sophos防火墙最近的一个关键远程代码执行漏洞(CVE-2022-1040)一起添加到其“已知被利用漏洞目录”中。
参考链接
https://www.securityweek.com/trend-micro-patches-apex-central-zero-day-exploited-targeted-attacks