上周,谷歌开始推出其Chrome 浏览器的更新,修复了浏览器 JavaScript 引擎中的一个严重安全漏洞。谷歌在其关于更新的博客文章中指出,针对此漏洞的利用已经在野外传播。然后,在周一,网络安全和基础设施安全局 (CISA) 宣布发现证据表明威胁参与者正在网络攻击中积极利用这一漏洞。该机构相应地将被利用的 Chrome 漏洞添加到其已知的被利用漏洞目录中,从而为联邦机构提供了 12 月 26 日的截止日期,以便将谷歌的补丁应用于所有受影响的系统。
该漏洞在国家漏洞数据库 (NVD) 中列为 CVE-2022-4262,严重性评分为 8.8(满分 10)。谷歌威胁分析小组的一名研究人员在 11 月底发现了该漏洞,促使谷歌开发修复程序。虽然谷歌此后披露了此漏洞的存在,但在大多数用户应用该补丁之前,该公司不会提供有关该漏洞的详细信息。谷歌简单地将此漏洞描述为 Chromium 的 V8 JavaScript 引擎中的类型混淆错误。
现在 CISA 已将此漏洞列入其已知的已利用漏洞目录,所有联邦民用行政部门 (FCEB) 机构都必须根据 Binding Operational Directive (BOD) 22-01 使用 Google 的补丁更新所有受影响的机器。虽然这些机构必须在 12 月 26 日之前这样做,但CISA 建议所有不受该指令约束的组织优先及时应用安全补丁。我们还补充说,个人用户也应该在他们自己的设备上应用相关更新。下表显示了各种基于 Chromium 的浏览器及其各自包含 Google 补丁的版本。
基于 Chromium 的浏览器(如 Google Chrome 和 Microsoft Edge)通常会在非托管环境中重启后自行更新。为确保更新通过,用户可以导航至“关于 Chrome”或“关于 Edge”菜单,这将启动检查更新并开始安装更新(如果可用)。安装更新后,用户需要根据提示关闭并重新启动浏览器才能生效。