发布编号：TACERT-ANA-2022120502123838

发布时间：2022-12-05 14:51:40

事故类型：ANA-漏洞预警

发现时间：2022-12-02 19:05:30

影响等级：中

[主旨说明:]

【漏洞预警】Google Chrome 存在一个高风险的零时差弱点，建议使用者尽速安装更新

[内容说明:]

转发 中华资安国际 CHTSecurity-ANA-202212-0003
 
Google 日前紧急推出电脑版 Chrome 浏览器更新，以修补近期发现严重的零时差弱点。已知该弱点已遭到骇客大规模滥用于攻击活动中。CVE-2022-4135 是存于绘图处理器（Graphic Processing Unit）的 heap 缓冲内存溢位错误，由 Google 旗下资安团队 Threat Analysis Group 发现。一般来说，这类错误属于内存弱点，可让攻击者绕过系统限制写入资料；而 CVE-2022-4135 弱点可以让攻击者存取限制区域内的资讯，并远端执行任意程式码。
 
Google 推出的新版 Chorme 浏览器，Windows 版本号码为 107.0.5304.121/122，Mac/Linux 版本则为 107.0.5304.122；这些新版本已修复上述的 CVE-2022-4135 零时差弱点，用户在开启 Chrome 浏览器时应会自动进行更新。
 
由于 Google Chrome 的市佔率高，用户使用时应特别留意，如有可用更新，应立即套用，以免遭骇客利用未及时更新的弱点发动攻击。
 
情资分享等级: WHITE(情资内容为可公开揭露之资讯)
 
烦请贵单位协助公告或转发

[影响平台:]

Google Chrome 107.0.5304.121/122 之前版本

[建议措施:]

Google Chrome 更新至 107.0.5304.121/122 或后续版本

[参考资料:]

1. https://www.twcert.org.tw/tw/cp-104-6748-fb440-1.html
2. https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10212

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组
网址：https://info.cert.tanet.edu.tw/
专线电话：07-5250211
网络电话：98400000
E-Mail：service@cert.tanet.edu.tw