CISA 发布指令修补这个被利用的 Chrome 漏洞

上周，谷歌开始推出其Chrome 浏览器的更新，修复了浏览器 JavaScript 引擎中的一个严重安全漏洞。谷歌在其关于更新的博客文章中指出，针对此漏​​洞的利用已经在野外传播。然后，在周一，网络安全和基础设施安全局 (CISA) 宣布发现证据表明威胁参与者正在网络攻击中积极利用这一漏洞。该机构相应地将被利用的 Chrome 漏洞添加到其已知的被利用漏洞目录中，从而为联邦机构提供了 12 月 26 日的截止日期，以便将谷歌的补丁应用于所有受影响的系统。

该漏洞在国家漏洞数据库 (NVD) 中列为 CVE-2022-4262，严重性评分为 8.8(满分 10)。谷歌威胁分析小组的一名研究人员在 11 月底发现了该漏洞，促使谷歌开发修复程序。虽然谷歌此后披露了此漏洞的存在，但在大多数用户应用该补丁之前，该公司不会提供有关该漏洞的详细信息。谷歌简单地将此漏洞描述为 Chromium 的 V8 JavaScript 引擎中的类型混淆错误。

现在 CISA 已将此漏洞列入其已知的已利用漏洞目录，所有联邦民用行政部门 (FCEB) 机构都必须根据 Binding Operational Directive (BOD) 22-01 使用 Google 的补丁更新所有受影响的机器。虽然这些机构必须在 12 月 26 日之前这样做，但CISA 建议所有不受该指令约束的组织优先及时应用安全补丁。我们还补充说，个人用户也应该在他们自己的设备上应用相关更新。下表显示了各种基于 Chromium 的浏览器及其各自包含 Google 补丁的版本。

基于 Chromium 的浏览器(如 Google Chrome 和 Microsoft Edge)通常会在非托管环境中重启后自行更新。为确保更新通过，用户可以导航至“关于 Chrome”或“关于 Edge”菜单，这将启动检查更新并开始安装更新(如果可用)。安装更新后，用户需要根据提示关闭并重新启动浏览器才能生效。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！