安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 谷歌紧急修复Chrome中的0day漏洞（3.25）

谷歌为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84，以解决一个严重0day漏洞（CVE-2022-1096）。

详细情况

该漏洞（CVE-2022-1096）是一个匿名安全研究人员报告的Chrome V8 JavaScript引擎中的严重类型混淆漏洞。虽然类型混淆缺陷通常会导致浏览器崩溃，在成功地读取或写入超出缓冲区边界的内存之后，攻击者也可以利用它们执行任意代码。

谷歌表示，99.0.4844.84版本已经通过稳定桌面频道在全球范围内推出，可能需要几周时间才能到达整个用户群。尽管谷歌发现了对该漏洞的在野利用，但并未透露更多相关技术细节或其他信息。

通过这次更新，谷歌解决了自2022年开始以来Chrome中的第二个0day漏洞，另一个为CVE-2022-0609，已于上个月修复。谷歌威胁分析小组(TAG)透露，朝鲜背景的黑客在2月CVE-2022-0609漏洞补丁发布前曾利用该漏洞，通过网络钓鱼电子邮件，攻击了美国新闻媒体和IT行业等组织。

参考链接

https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/?&web_view=true

2. 趋势科技修复Apex Central中被利用的0day漏洞（4.1）

趋势科技(Trend Micro)本周发布了针对Apex Central中一个严重任意文件上传漏洞的补丁，该漏洞已被一些疑似定向的攻击所利用。

详细情况

该安全漏洞为CVE-2022-26871 (CVSS得分8.6)，由趋势科技自己的研究团队发现。该漏洞同时影响了本地部署版本和软件即服务(SaaS)版本的集中式管理控制台。

趋势科技公司解释称，这个安全漏洞将允许未经身份验证的攻击者远程上传任意文件，这可能导致远程代码执行。

该公司给出的建议中指出，已经观察到至少一起疑似恶意利用该漏洞给的攻击尝试，但没有提供这些攻击的具体信息。

周四，美国网络安全和基础设施安全局(CISA)将该漏洞与其他几个安全问题，包括Sophos防火墙最近的一个关键远程代码执行漏洞（CVE-2022-1040）一起添加到其“已知被利用漏洞目录”中。

参考链接

https://www.securityweek.com/trend-micro-patches-apex-central-zero-day-exploited-targeted-attacks