• 發布單位:TWCERT/CC
• 更新日期:2022-04-15
• 點閱次數:6246

Google 日前緊急推出新版 Google Chrome 瀏覽器版本 100.0.4896.127，修復一個證實已遭駭侵者濫用於資安攻擊的 0-day 漏洞 CVE-2022-1364；廣大 Google Chrome 用戶應立即升級至最新版本。

目前關於 CVE-2022-1364 這個漏洞的公開資訊並不多，僅知該漏洞存於 Google Chrome 的 V8 JavaScript 引擎內，屬於一種「類型混淆」（type confusion）漏洞；這種漏洞一旦發生，通常會導致瀏覽器崩潰，駭侵者進而可以讀寫超出緩衝區漏洞的記憶體內容，並且進一步執行任意程式碼。

該漏洞的 CVSS 危險程度評分為 8.8 分（滿分為 10 分），危險程度評級為「高」（high）；本漏洞是由 Google 旗下的威脅分析小組資安專家 Clément Lecigne 發現並提報至 Google Chrome 團隊，該團隊在一天以內即推出了漏洞修復新版。

雖然 Google 在更新通報中指出，該公司已獲悉有駭侵團體使用此漏洞進行攻擊的情報，但 Google 認為應該要等多數用戶都完成更新後，再對外透露更詳細的資訊，因此目前對於此類攻擊的泛濫程度尚不得而知。

本 0-day 漏洞也是今（2022）年至今 Google Chrome 修復的第 3 個 0-day 漏洞。

鑑於 Google Chrome 是世界上占有率最高的瀏覽器，用戶數量眾多且跨及多個作業系統平台，因此用戶恐處於極大風險之下。包括 Windows、macOS、Linux 作業系統的 Google Chrome 用戶，都應立即更新至最新版本，以避免潛在的資安攻擊風險。

• CVE編號：CVE-2022-1364

• 影響產品(版本)：Google Chrome 100.0.4896.127 之前各作業系統（Windows、macOS、Linux）版本。

• 解決方案：更新至 Google Chrome 100.0.4896.127 或其後續版本。