新闻中心 > 新闻详情

内存安全周报第130期 |谷歌111版本修复了40个漏洞(3.8)

2023 年 3 月 12 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。


一、谷歌111版本修复了40个漏洞(3.8)

Google向稳定频道发布了Chrome111版本,修复了40个漏洞,其中有8个高危漏洞。

详细情况

本周,Google宣布向稳定频道发布Chrome111版本,修复了40个漏洞。

外部研究员报告的已修复的安全漏洞总计24个,其中包括8个高危漏洞、11个中危漏洞和5个低危漏洞。

其中3个高危漏洞是释放后使用漏洞,受影响的有Swiftshader, DevTools, 和WebRTC,为此Google分别支付了$15,000, $4,000, 和$3,000的赏金。

Google的咨询员还提到了2个V8和CSS中的类型混淆漏洞,赏金分别为$10,000和7, 000;1个Crash reporting中的栈缓冲区溢出漏洞,赏金为$3,000; 2个Metrics和UMA中的堆缓冲区溢出漏洞,赏金暂未确定。

外部报告的中危漏洞中,有6个是影响浏览器组件(例如扩展 API、自动填充、Web 支付 API、导航和Intent)的策略执行不足的漏洞。

此外,Chrome 111版本还解决了权限提示、WebApp安装和自动填充中的中危的不当实施漏洞,Web Audio API中的1个堆缓冲区溢出漏洞,以及Core中的1个释放后使用漏洞。

此次浏览器更新解决的外部报告的低危漏洞包括:Resource Timing中的两个策略执行不足漏洞、Intent中的一个不恰当实现漏洞、DevTools中的一个类型混淆漏洞以及Internals中的一个不恰当实现漏洞。

最新的Chrome浏览器迭代目前是在Windows推出的111.0.5563.64/.65版本,在Linux和MacOS推出的111.0.5563.64版本。

参考链接

https://www.securityweek.com/chrome-111-patches-40-vulnerabilities/?web_view=true

二、CISA的KEV目录更新了3个威胁IT管理系统的新漏洞(3.8)

CISA的KEV目录更新了3个威胁IT管理系统的新漏洞。

详细情况

美国网络安全和基础设施安全局(CISA)在其已知已被利用的漏洞(KEV)目录中增加了三个安全漏洞,并引用了已活跃利用的证据。

漏洞清单如下:

CVE-2022-35914(CVSS评分:9.8)--Teclib GLPI远程代码执行漏洞

CVE-2022-33891 (CVSS评分: 8.8) - Apache Spark命令注入漏洞

CVE-2022-28810 (CVSS评分: 6.8) - Zoho ManageEngine ADSelfService Plus远程代码执行漏洞

3个漏洞中,最严重的是CVE-2022-35914,它与Teclib GLPI(一个开源资产和IT管理软件包)中第三方库htmlawed的远程代码执行漏洞相关。

攻击性质的具体细节尚不清楚,但Shadowserver基金会在2022年10月指出,存在利用其蜜罐的企图。

此外,根据GreyNoise收集的数据显示,有40个来自美国、荷兰、香港、澳大利亚和保加利亚的恶意IP地址,试图滥用这一漏洞。

第二个漏洞是Apache Spark中的一个未经身份认证的命令注入漏洞,Zerobot僵尸网络已经利用这个漏洞来选择易受攻击的设备,目的是进行分布式拒绝服务(DDoS)攻击。

最后,KEV目录中还增加了一个Zoho ManageEngine ADSelfService Plus的远程代码执行漏洞,该漏洞已于2022年4月被修补。

CISA表示:"多个Zoho ManageEngine ADSelfService Plus包含一个未明确的漏洞,允许在密码更改或重置时进行远程代码执行" 。

参考链接

https://thehackernews.com/2023/03/cisas-kev-catalog-updated-with-3-new.html?&web_view=true

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24