网络安全和数据安全:资讯、技术、法规、趋势。

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


内存安全周报第130期 |谷歌111版本修复了40个漏洞

2023-03-16 10:47 推荐: 浏览: 11 字号:

摘要: 一、谷歌111版本修复了40个漏洞(3.8) Google向稳定频道发布了Chrome111版本,修复了40个漏洞,其中有8个高危漏洞。详细情况本周,Google宣布向稳定频道发布Chrome111版本,修复了40个漏洞。外部研究员报告的已修复的安全漏洞总计...

一、谷歌111版本修复了40个漏洞(3.8)

Google向稳定频道发布了Chrome111版本,修复了40个漏洞,其中有8个高危漏洞。详细情况本周,Google宣布向稳定频道发布Chrome111版本,修复了40个漏洞。外部研究员报告的已修复的安全漏洞总计24个,其中包括8个高危漏洞、11个中危漏洞和5个低危漏洞。

其中3个高危漏洞是释放后使用漏洞,受影响的有Swiftshader, DevTools, 和WebRTC,为此Google分别支付了$15,000, $4,000, 和$3,000的赏金。

Google的咨询员还提到了2个V8和CSS中的类型混淆漏洞,赏金分别为$10,000和7, 000;1个Crash reporting中的栈缓冲区溢出漏洞,赏金为$3,000; 2个Metrics和UMA中的堆缓冲区溢出漏洞,赏金暂未确定。

外部报告的中危漏洞中,有6个是影响浏览器组件(例如扩展 API、自动填充、Web 支付 API、导航和Intent)的策略执行不足的漏洞。

此外,Chrome 111版本还解决了权限提示、WebApp安装和自动填充中的中危的不当实施漏洞,Web Audio API中的1个堆缓冲区溢出漏洞,以及Core中的1个释放后使用漏洞。

此次浏览器更新解决的外部报告的低危漏洞包括:Resource Timing中的两个策略执行不足漏洞、Intent中的一个不恰当实现漏洞、DevTools中的一个类型混淆漏洞以及Internals中的一个不恰当实现漏洞。

最新的Chrome浏览器迭代目前是在Windows推出的111.0.5563.64/.65版本,在Linux和MacOS推出的111.0.5563.64版本。

参考链接

https://www.securityweek.com/chrome-111-patches-40-vulnerabilities/?web_view=true

 

二、CISA的KEV目录更新了3个威胁IT管理系统的新漏洞(3.8)

CISA的KEV目录更新了3个威胁IT管理系统的新漏洞。

详细情况

美国网络安全和基础设施安全局(CISA)在其已知已被利用的漏洞(KEV)目录中增加了三个安全漏洞,并引用了已活跃利用的证据。漏洞清单如下:CVE-2022-35914(CVSS评分:9.8)--Teclib GLPI远程代码执行漏洞CVE-2022-33891 (CVSS评分: 8.8) - Apache Spark命令注入漏洞

CVE-2022-28810 (CVSS评分: 6.8) - Zoho ManageEngine ADSelfService Plus远程代码执行漏洞

3个漏洞中,最严重的是CVE-2022-35914,它与Teclib GLPI(一个开源资产和IT管理软件包)中第三方库htmlawed的远程代码执行漏洞相关。

攻击性质的具体细节尚不清楚,但Shadowserver基金会在2022年10月指出,存在利用其蜜罐的企图。

此外,根据GreyNoise收集的数据显示,有40个来自美国、荷兰、香港、澳大利亚和保加利亚的恶意IP地址,试图滥用这一漏洞。

第二个漏洞是Apache Spark中的一个未经身份认证的命令注入漏洞,Zerobot僵尸网络已经利用这个漏洞来选择易受攻击的设备,目的是进行分布式拒绝服务(DDoS)攻击。

最后,KEV目录中还增加了一个Zoho ManageEngine ADSelfService Plus的远程代码执行漏洞,该漏洞已于2022年4月被修补。

CISA表示:"多个Zoho ManageEngine ADSelfService Plus包含一个未明确的漏洞,允许在密码更改或重置时进行远程代码执行" 。

参考链接

https://thehackernews.com/2023/03/cisas-kev-catalog-updated-with-3-new.html?&web_view=true

联系站长租广告位!

中国首席信息安全官
Copy link