摘要: 一、谷歌111版本修复了40个漏洞(3.8) Google向稳定频道发布了Chrome111版本,修复了40个漏洞,其中有8个高危漏洞。详细情况本周,Google宣布向稳定频道发布Chrome111版本,修复了40个漏洞。外部研究员报告的已修复的安全漏洞总计...
一、谷歌111版本修复了40个漏洞(3.8)
其中3个高危漏洞是释放后使用漏洞,受影响的有Swiftshader, DevTools, 和WebRTC,为此Google分别支付了$15,000, $4,000, 和$3,000的赏金。
Google的咨询员还提到了2个V8和CSS中的类型混淆漏洞,赏金分别为$10,000和7, 000;1个Crash reporting中的栈缓冲区溢出漏洞,赏金为$3,000; 2个Metrics和UMA中的堆缓冲区溢出漏洞,赏金暂未确定。
外部报告的中危漏洞中,有6个是影响浏览器组件(例如扩展 API、自动填充、Web 支付 API、导航和Intent)的策略执行不足的漏洞。
此外,Chrome 111版本还解决了权限提示、WebApp安装和自动填充中的中危的不当实施漏洞,Web Audio API中的1个堆缓冲区溢出漏洞,以及Core中的1个释放后使用漏洞。
此次浏览器更新解决的外部报告的低危漏洞包括:Resource Timing中的两个策略执行不足漏洞、Intent中的一个不恰当实现漏洞、DevTools中的一个类型混淆漏洞以及Internals中的一个不恰当实现漏洞。
最新的Chrome浏览器迭代目前是在Windows推出的111.0.5563.64/.65版本,在Linux和MacOS推出的111.0.5563.64版本。
参考链接
https://www.securityweek.com/chrome-111-patches-40-vulnerabilities/?web_view=true
二、CISA的KEV目录更新了3个威胁IT管理系统的新漏洞(3.8)
CISA的KEV目录更新了3个威胁IT管理系统的新漏洞。
详细情况
CVE-2022-28810 (CVSS评分: 6.8) - Zoho ManageEngine ADSelfService Plus远程代码执行漏洞
3个漏洞中,最严重的是CVE-2022-35914,它与Teclib GLPI(一个开源资产和IT管理软件包)中第三方库htmlawed的远程代码执行漏洞相关。
攻击性质的具体细节尚不清楚,但Shadowserver基金会在2022年10月指出,存在利用其蜜罐的企图。
此外,根据GreyNoise收集的数据显示,有40个来自美国、荷兰、香港、澳大利亚和保加利亚的恶意IP地址,试图滥用这一漏洞。
第二个漏洞是Apache Spark中的一个未经身份认证的命令注入漏洞,Zerobot僵尸网络已经利用这个漏洞来选择易受攻击的设备,目的是进行分布式拒绝服务(DDoS)攻击。
最后,KEV目录中还增加了一个Zoho ManageEngine ADSelfService Plus的远程代码执行漏洞,该漏洞已于2022年4月被修补。
CISA表示:"多个Zoho ManageEngine ADSelfService Plus包含一个未明确的漏洞,允许在密码更改或重置时进行远程代码执行" 。
参考链接
https://thehackernews.com/2023/03/cisas-kev-catalog-updated-with-3-new.html?&web_view=true