安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 谷歌紧急修复Chrome中遭利用的0day漏洞（4.14）

谷歌周四发布紧急补丁，以解决Chrome浏览器中的两个安全漏洞，该公司表示，其中一个安全问题正在被广泛利用。

详细情况

该漏洞编码为CVE-2022-1364，谷歌表示这一严重漏洞为V8 JavaScript引擎中的类型混淆漏洞。谷歌的威胁分析团队于2022年4月13日报告了漏洞。但有关该漏洞和威胁行为者身份的更多细节并未披露，以防止进一步滥用。

这是谷歌今年修复的第三个0day漏洞，并且距离上一个0day漏洞修复不到一个月的时间。另外两个分别为：CVE-2022-0609——Animation中的释放后使用漏洞和CVE-2022-1096——V8中的类型混淆。

谷歌建议Windows、Mac和Linux用户更新到100.0.4896.127版本以防范潜在威胁。基于Chrome浏览器(如Microsoft Edge、Brave、Opera和Vivaldi)的用户也建议尽快打补丁。

参考链接

https://thehackernews.com/2022/04/google-releases-urgent-chrome-update-to.html

2. WordPress插件Elementor中发现严重RCE漏洞（4.13）

4月12日，Elementor插件发布了一个重要的安全更新，修补了一个关键的远程代码漏洞，该漏洞允许所有经过认证的用户，包括订阅者，在一个易受攻击的网站上上传和执行任意PHP代码。

详细情况

该漏洞编码为CVE-2022-1329，级别为严重。Elementor的活跃安装超过500万，因此有大量网站受到该漏洞的影响。

WordFence的威胁情报团队最初报告了这一关键漏洞，该漏洞利用了在易受攻击的版本中发现的功能检查不足。

漏洞情况一览表

攻击者可以将恶意代码伪装成插件存档文件上传，并使用易受攻击的upload_and_install_pro动作在受攻击的环境中执行有效负载。通过利用该漏洞，攻击者可以很容易地接管站点或访问web服务器上的资源。

目前3.6.3版本已经对该漏洞进行了修复，该公司建议用户更新到3.6.3或更高版本。无法立即更新的用户可以利用Sucuri防火墙为网站打补丁，以防止所有已知的漏洞。Sucuri web应用程序防火墙用户不受此问题的影响。

参考链接

https://blog.sucuri.net/2022/04/critical-rce-vulnerability-in-elementor-wordpress-plugin.html?web_view=true