Google Chrome GPU堆溢出漏洞安全风险通告
安全通告
近日,Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告,Google Chrome GPU进程存在堆溢出漏洞,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,Google已发现此漏洞被用于在野攻击。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
漏洞名称
Google Chrome GPU堆溢出漏洞
公开时间
2022-11-24
更新时间
2022-11-25
CVE编号
CVE-2022-4135
其他编号
QVD-2022-45069
威胁类型
代码执行
技术类型
堆缓冲区溢出
厂商
产品
Chrome
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态EXP状态在野利用状态技术细节状态
未发现未发现已发现未公开
漏洞描述
Google Chrome GPU 进程存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。
影响版本
Google Chrome < 107.0.5304.121
不受影响版本
Google Chrome >= 107.0.5304.121
其他受影响组件
基于Chromium的浏览器
威胁评估
漏洞名称
Google Chrome GPU堆溢出漏洞
CVE编号
CVE-2022-4135
其他编号
QVD-2022-45069
CVSS 3.1评级
高危
CVSS 3.1分数
8.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
无
需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
Google Chrome GPU存在堆溢出漏洞,利用此漏洞需要用户交互,成功利用此漏洞可导致在应用程序上下文中执行任意代码。目前,谷歌已发现此漏洞被用于在野攻击。
处置建议
目前,Google Chrome已发布新版本(Google Chrome for Mac /Linux 107.0.5304.121、Google Chrome for Windows 107.0.5304.121/.122),建议用户尽快升级至最新版本。
版本检测及升级步骤:
1. 查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome
2. 等待下载完成后,选择重新启动
3. 查看当前版本
参考资料
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
页:
[1]