Lỗ hổng được xác định là CVE-2022-4262, ảnh hưởng đến tất cả các phiên bản Google Chrome trên tất cả các nền tảng Trợ lý biên tập Spiceworks, Sumeet Wadhwani, Ziff DavisAsst. Biên tập viên, Spiceworks Ziff Davis Ngày 5 tháng 12 năm 2022 Một lỗ hổng zero-day khác trong trình duyệt Chrome phổ biến của Google đang được khắc phục ngay lập tức bằng một bản vá lỗi; Lỗ hổng được báo cáo vào ngày 29 tháng 11 bởi Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google. Tuy nhiên, việc khai thác lỗ hổng, một lỗi nhầm lẫn trong công cụ V8 của Chrome, đã tồn tại trong tự nhiên Lỗ hổng của kẻ tấn công này gây ra mối đe dọa tương tự đối với các hệ thống chạy các ứng dụng dễ bị tấn công giống như ba loại lỗi nhầm lẫn khác được phát hiện trong Chrome vào năm 2022 Theo Mike Walters, phó chủ tịch nghiên cứu về lỗ hổng và mối đe dọa tại Action1, người đã nói chuyện với Spiceworks, các lỗ hổng Type Confusion trong V8 được kết nối với công cụ JavaScript của trình duyệt. Rất có khả năng lỗ hổng này cho phép thực thi mã từ xa, nghĩa là tác nhân đe dọa có thể khiến thiết bị của nạn nhân thực thi bất kỳ tập lệnh hoặc tải trọng phần mềm độc hại nào Theo Trung tâm An ninh Internet (CIS), tin tặc có thể cài đặt chương trình, xem, thay đổi, xóa dữ liệu hoặc tạo tài khoản mới với toàn quyền người dùng nếu CVE-2022-4262 được khai thác thành công. Walters tiếp tục: "Trong hầu hết các trường hợp, những kẻ tấn công lợi dụng những lỗ hổng như vậy khi người dùng truy cập trang web độc hại của chúng, sau đó chúng đánh cắp dữ liệu từ các thiết bị bị ảnh hưởng hoặc xây dựng botnet để khởi chạy các cuộc tấn công DDoS, khai thác tiền điện tử hoặc gửi thư rác. ” Lỗ hổng thứ tư trong công cụ V8, ngoài Chrome, được sử dụng bởi phần lớn các trình duyệt web dựa trên Chromium, bao gồm Brave, Opera, Vivaldi và Microsoft Edge, là CVE-2022-4262, lỗ hổng zero-day thứ chín được tìm thấy Google cáo buộc một công ty bảo mật Tây Ban Nha tạo công cụ khai thác cho Microsoft Defender và Chrome Dưới đây là danh sách một trong số chín lỗ hổng zero-day của Chrome dễ bị tổn thương Loại Hoạt hình sử dụng sau khi miễn phí Nằm trong Điểm CVSSTháng phát hành bản vá CVE-2022-0609. 88. 8 CVE-2022-0609Sử dụng sau khi miễn phíHoạt ảnh8. 8tháng 3 năm 2022 CVE-2022-1096 Tháng 3 năm 2022CVE-2022-1364Lỗi loạiĐộng cơ V88. 8Sự nhầm lẫn về loại Động cơ V8Tháng 3 năm 2022CVE-2022-1364Sự nhầm lẫn về loạiĐộng cơ V88. 8Động cơ V88. 8Tháng 3 năm 2022CVE-2022-1364Lỗi loạiĐộng cơ V8 . 8 . 8March 2022CVE-2022-1364Type confusionV8 engineMarch 2022CVE-2022-1364Type confusionV8 engine8.8tháng 4 năm 2022 CVE-2022-2294 WebRTC8. Ngày 8 tháng 7 năm 2022CVE-2022-2856 Tràn bộ đệm heap Xác thực không đầy đủ của inputIntents56 không đáng tin cậy. 5WebRTC8. 8Tháng 7 năm 2022CVE-2022-2856Xác thực đầu vào không đáng tin cậy không đầy đủÝ định. 56. 5tháng 8 năm 2022 CVE-2022-3075 Xác thực dữ liệu không đầy đủMojo9. 6 Tháng chín 2022CVE-2022-3723Sự mơ hồ về loạiĐộng cơ V88. Tuyệt vời9. 6Tháng 9 năm 2022CVE-2022-3723Lỗi loạiĐộng cơ V8 . 8 . 88.8tháng 10 năm 2022 CVE-2022-4135 ngày 6 tháng 11 năm 2022CVE-2022-4262Lỗi loại công cụ V8NA Tràn bộ đệm heapThành phần GPU của ChromeThành phần GPU của Chrome9. 6Tháng 11 năm 2022CVE-2022-4262Lỗi loạiĐộng cơ V8NAtháng 12 năm 2022 Rủi ro do CVE-2022-4262 gây ra cho các cơ quan chính phủ lớn, vừa và nhỏ cũng như các doanh nghiệp được CIS mô tả là "cao" trong một bài đăng trên blog. CVE-2022-4262 là 'cao' đối với các tổ chức chính phủ và doanh nghiệp lớn, vừa và nhỏ và nó gây ra '. Khó có thể phóng đại mức độ nghiêm trọng của lỗ hổng này, nhưng Google sẽ không tiết lộ chi tiết cho đến khi phần lớn trình duyệt của người dùng được cập nhật. Chúng tôi khuyên bạn nên cập nhật trình duyệt Chrome của mình ngay khi có thể vì lý do này để Chrome được cập nhật lên phiên bản 108. Nhấp vào ba hình elip dọc ở góc trên cùng bên phải của trang 5359. 94. Trình duyệt sẽ nhắc người dùng khởi động lại Chrome sau khi cài đặt các bản cập nhật, vì vậy hãy đi tới Cài đặt > Giới thiệu về Chrome để kiểm tra các bản cập nhật Thực tiễn tốt nhất cho các tổ chức là tự động vá lỗi cho các ứng dụng của bên thứ ba, bao gồm cả trình duyệt và đảm bảo rằng nhóm CNTT của họ có thể buộc khởi động lại từ xa theo cách thuận tiện cho người dùng cuối, Walters đề xuất. "Điều đáng chú ý là việc vá các trình duyệt có thể gặp vấn đề, bởi vì mọi người không thích khởi động lại trình duyệt của họ, điều này thường được yêu cầu như một phần của bản cập nhật," Walters nói Chúng tôi rất muốn nhận được phản hồi từ bạn trên LinkedIn, Twitter hoặc Facebook nếu bạn thấy tin tức này thú vị Được theo dõi là CVE-2022-4262, lỗ hổng ảnh hưởng đến tất cả các phiên bản trình duyệt của Google Chrome trên tất cả các nền tảng Sumeet Wadhwani Asst. Biên tập viên, Spiceworks Ziff Davis Ngày 5 tháng 12 năm 2022 Google đang tung ra một bản vá khẩn cấp, ngoài băng tần cho một lỗ hổng zero-day khác trong trình duyệt Chrome hàng đầu của mình. Được theo dõi là CVE-2022-4262, lỗ hổng ảnh hưởng đến tất cả các phiên bản trình duyệt trên tất cả các nền tảng Quan trọng hơn, việc khai thác lỗ hổng, một lỗi nhầm lẫn loại trong công cụ V8 của Chrome, tồn tại trong tự nhiên. Đây là lý do tại sao việc vá lỗ hổng, được báo cáo vào ngày 29 tháng 11 bởi Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google, nên được ưu tiên Giống như ba lỗ hổng gây nhầm lẫn loại khác được tìm thấy trong Chrome vào năm 2022, lỗ hổng này cũng đe dọa các hệ thống có ứng dụng dễ bị tấn công với quyền truy cập bộ nhớ hệ thống vượt quá giới hạn của các tác nhân đe dọa “Thông tin chi tiết về lỗ hổng và cách khai thác vẫn chưa được công bố, nhưng lỗ hổng ‘Type Confusion in V8’ có liên quan đến công cụ JavaScript của trình duyệt,” Mike Walters, phó giám đốc nghiên cứu lỗ hổng và mối đe dọa tại Action1, nói với Spiceworks “Rất có khả năng lỗ hổng này cho phép thực thi mã từ xa, điều đó có nghĩa là tác nhân đe dọa có thể khiến bất kỳ tập lệnh hoặc tải trọng phần mềm độc hại nào được thực thi trên thiết bị của nạn nhân. ” Trung tâm An ninh Internet (CIS) lưu ý rằng việc khai thác thành công CVE-2022-4262 có thể cho phép các tác nhân đe dọa thực thi mã tùy ý trong ngữ cảnh của người dùng đã đăng nhập. Hacker có thể cài đặt chương trình, xem, thay đổi, xóa dữ liệu hoặc tạo tài khoản mới với đầy đủ quyền của người dùng Walters nói thêm: “Trong hầu hết các trường hợp, những kẻ tấn công khai thác các lỗ hổng như vậy khi người dùng truy cập trang web độc hại của chúng. Sau đó, chúng đánh cắp dữ liệu từ các thiết bị bị ảnh hưởng hoặc tạo botnet để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán, khai thác tiền điện tử hoặc gửi thư rác. ” CVE-2022-4262 là lỗ hổng zero-day thứ chín được phát hiện và vá trong năm 2022. Đây cũng là lỗ hổng thứ tư trong công cụ V8, bên cạnh Chrome, được sử dụng trên hầu hết các trình duyệt web dựa trên Chromium, bao gồm Brave, Opera, Vivaldi và Microsoft Edge Xem thêm. Google cáo buộc công ty bảo mật Tây Ban Nha phát triển các công cụ khai thác cho Chrome và Microsoft Defender Tất cả chín lỗi zero-day của Chrome được liệt kê bên dưới dễ bị tổn thương TypeResides InCVSS ScoreTháng phát hành bản vá CVE-2022-0609Sử dụng miễn phí sau khi sử dụngHoạt ảnh< . 88.8tháng 3 năm 2022 CVE-2022-1096 Lỗi loạiĐộng cơ V88. 8Tháng 3 năm 2022CVE-2022-1364Lỗi loạiĐộng cơ V8 . 8 . 8 . 88.8tháng 4 năm 2022 CVE-2022-2294 Tràn bộ đệm heapWebRTC8. 8Tháng 7 năm 2022CVE-2022-2856Xác thực đầu vào không đáng tin cậy không đầy đủÝ định . 56.5tháng 8 năm 2022 CVE-2022-3075 Xác thực dữ liệu không đầy đủMojo9. 6Tháng 9 năm 2022CVE-2022-3723Lỗi loạiĐộng cơ V8 . 8 . 8 . 88.8tháng 10 năm 2022 CVE-2022-4135 Tràn bộ đệm heapThành phần GPU của Chrome9. 6Tháng 11 năm 2022CVE-2022-4262Lỗi loạiĐộng cơ V8NAtháng 12 năm 2022 CIS đã viết trong một bài đăng trên blog rằng rủi ro từ CVE-2022-4262 là 'cao' đối với các tổ chức chính phủ và doanh nghiệp lớn, vừa và nhỏ, đồng thời gây ra nguy cơ ' . “Google sẽ không cung cấp thông tin chi tiết về lỗ hổng cho đến khi trình duyệt của hầu hết người dùng được cập nhật và đúng như vậy. Mức độ nghiêm trọng của lỗ hổng này khó có thể được phóng đại. Đó là lý do tại sao chúng tôi khuyên bạn nên cập nhật trình duyệt Chrome của mình càng sớm càng tốt. ” Để cập nhật Chrome lên phiên bản 108. 0. 5359. 94, nhấp vào ba hình elip dọc ở góc trên cùng bên phải. Đi tới Cài đặt > Giới thiệu về Chrome, nơi trình duyệt tự động kiểm tra các bản cập nhật. Ứng dụng sẽ nhắc người dùng khởi động lại Chrome sau khi cài đặt bản cập nhật “Tuy nhiên, điều đáng chú ý là việc vá các trình duyệt có thể gặp vấn đề vì mọi người không thích khởi động lại trình duyệt của họ, điều này thường được yêu cầu như một phần của bản cập nhật. Đó là lý do tại sao cách tốt nhất cho các tổ chức là tự động vá lỗi cho các ứng dụng của bên thứ ba, bao gồm cả trình duyệt và đảm bảo nhóm CNTT của họ có thể buộc khởi động lại từ xa theo cách thuận tiện cho người dùng cuối,” Walters khuyên Hãy cho chúng tôi biết nếu bạn thích đọc tin tức này trên LinkedIn, Twitter hoặc Facebook. chúng tôi rất mong nhận được hồi âm từ bạn |
![Báo cáo. Ngay cả Facebook cũng không sử dụng Metaverse của riêng mình, cầu xin nhân viên dành thời gian cho nó [Cập nhật]](/dist/images/rand/58.jpg)
