Anonymous 发表于 2022-11-25 16:47:53

Google Chrome GPU堆溢出漏洞安全风险通告


安全通告

近日,Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告,Google Chrome GPU进程存在堆溢出漏洞,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,Google已发现此漏洞被用于在野攻击。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。

漏洞名称
Google Chrome GPU堆溢出漏洞


公开时间

2022-11-24

更新时间

2022-11-25


CVE编号

CVE-2022-4135

其他编号

QVD-2022-45069


威胁类型

代码执行

技术类型

堆缓冲区溢出


厂商

Google

产品

Chrome


风险等级


风险评级

风险等级


高危

蓝色(一般事件)

现时威胁状态
POC状态EXP状态在野利用状态技术细节状态
未发现未发现已发现未公开

漏洞描述

Google Chrome GPU 进程存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。


影响版本

Google Chrome < 107.0.5304.121


不受影响版本

Google Chrome >= 107.0.5304.121


其他受影响组件

基于Chromium的浏览器




威胁评估


漏洞名称

Google Chrome GPU堆溢出漏洞


CVE编号

CVE-2022-4135

其他编号

QVD-2022-45069


CVSS 3.1评级

高危

CVSS 3.1分数

8.8


CVSS向量

访问途径(AV)

攻击复杂度(AC)


网络




所需权限(PR)

用户交互(UI)




需要


影响范围(S)

机密性影响(C)


不改变




完整性影响(I)

可用性影响(A)







危害描述

Google Chrome GPU存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,谷歌已发现此漏洞被用于在野攻击。



处置建议

目前,Google Chrome已发布新版本(Google Chrome for Mac /Linux 107.0.5304.121、Google Chrome for Windows 107.0.5304.121/.122),建议用户尽快升级至最新版本。

版本检测及升级步骤:

1.      查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome



2.      等待下载完成后,选择重新启动



3.      查看当前版本



参考资料

https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html

页: [1]
查看完整版本: Google Chrome GPU堆溢出漏洞安全风险通告