内容说明:
研究人员发现Google Chrome、Microsoft Edge、Brave及Vivaldi等以Chromium为基础之浏览器,皆存在Chrome V8 JavaScript引擎之类型混淆(Type Confusion)漏洞(CVE-2022-1364),攻击者可诱使受害者点击恶意网站连结造成浏览器错误中断,或造成缓冲区溢位进而远端执行任意程式码。
目前已知影响平台如下:
Google Chrome 100.0.4896.127(不含)以前版本
Microsoft Edge 100.0.1185.44(不含)以前版本
Brave 1.37.116(不含)以前版本
Vivaldi 5.2.2623.39(不含)以前版本
建议措施:
一、请更新Google Chrome浏览器至100.0.4896.127以后版本,更新方式如下:
1.开启浏览器,于网址列输入chrome://settings/help,浏览器将执行版本检查与自动更新
2.点击「重新启动」完成更新
二、请更新Microsoft Edge浏览器至100.0.1185.44以后版本,更新方式如下:
1.开启浏览器,于网址列输入edge://settings/help,浏览器将执行版本检查与自动更新
2.点击「重新启动」完成更新
三、请更新Brave浏览器至1.37.116以后版本,更新方式如下:
1.开启浏览器,于网址列输入brave://settings/help,浏览器将执行版本检查与自动更新
2.点击「重新启动」完成更新
四、请更新Vivaldi浏览器至5.2.2623.39以后版本,更新方式如下:
1.开启浏览器,点选左上方Vivaldi图示开启下拉式选单,点选 说明>检查更新
2.点击「重新启动」完成更新
参考资料:
1. https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
2. https://www.ithome.com.tw/news/150434
3. https://www.hkcert.org/security-bulletin/google-chro
me-remote-code-execution-vulnerability_20220419
4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-1364
5. https://github.com/brave/brave-browser/releases/tag/v1.37.116
6. https://vivaldi.com/blog/desktop/minor-update-six-5-2/
7. https://vivaldi.com/blog/desktop/security-fix-vivaldi-browser-snapshot-2649-3/
8. https://www.forbes.com/sites/daveywinder/2022/04/17/emergency-security-update-for-32-billion-google-chrome-users-attacks-underway/?sh=19a2c63836a5
9. https://www.pcmag.com/news/google-patches-third-actively-exploited-chrome-zero-day-of-2022
2022/4/20 下午 03:50:05
原文网址: 行政院国家资通安全会报技术服务中心 漏洞警讯公告