谷歌修复新的Chrome零日漏洞

9月3日消息，Chrome浏览器发布105.0.5195.102（Mac、Linux 和 Windows）紧急版本更新，以修复新的高危零日漏洞，该漏洞代号为CVE-2022-3075，是由运行时库集合Mojo的数据验证不足引起的。近3个月内Chrome浏览器已连续多次被发现出现零日漏洞。

8月18日消息，Chrome 浏览器发布 104.0.5112.101（Mac 和 Linux）和 104.0.5112.102（Windows）版本更新，以修复新的零日漏洞，该漏洞代号为 CVE-2022-2856，是由于浏览器未充分验证不受信任的输入。Web3 安全机构 Wallet Guard 称所有使用 Chromium 内核的浏览器都会受到影响，并建议用户尽快进行更新。

6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

金色财经报道，谷歌(GOOG.O)表示，Chrome浏览器即将推出三项新的AI功能，使用了最新的Google AI和Gemini模型。

金色财经报道，EXVUL技术团队发现了多个Chrome插件钱包存在严重漏洞。据了解，许多谷歌插件钱包使用indexedDB来存储加密密钥数据，然而，这种存储方式存在密文替换攻击的风险。攻击者可以替换受害者的钱包密钥，从而解密受害者的钱包，进而盗取用户的密钥或助记词。目前已经确认存在此漏洞的钱包包括Coinbase Wallet、Crypto.com DIFI Wallet、Sui Wallet、MyEtherWallet等。

8月31日消息，微软网络安全研究人员发现了一个 Chromium 引擎中的零日漏洞，该引擎为 Chrome 等浏览器提供支持。这个漏洞被一个名为 Citrine Sleet 的朝鲜黑客组织利用，专门针对加密货币用户。Citrine Sleet 使用了名为 FudModule 的 rootkit 恶意软件，通过创建虚假的加密货币交易平台网站，诱使用户下载恶意软件或武器化的加密钱包，从而获得远程代码执行权限，进而窃取受害者的加密资产。此漏洞已在 8 月 21 日被修复，用户需尽快更新浏览器以确保安全。 这是今年第三个被利用的 Chromium 零日漏洞。