ANGLE 在 Google Chrome 97.0.4692.71 之前的版本中的堆缓冲区溢出,允许远程攻击者通过精心制作的 HTML 页面潜在地利用堆损坏。
平台
chrome
组件
angle
修复版本
97.0.4692.71
CVE-2022-0104 描述了 Google Chrome 中 ANGLE 组件中的一个缓冲区溢出漏洞。此漏洞允许远程攻击者通过精心制作的 HTML 页面利用堆内存损坏,可能导致程序崩溃或恶意代码执行。此漏洞影响 Google Chrome 版本小于或等于 97.0.4692.71 的用户。已发布安全更新,建议用户尽快升级。
影响与攻击场景
攻击者可以通过诱骗受害者访问特制的恶意 HTML 页面来利用此漏洞。一旦页面加载,ANGLE 组件中的缓冲区溢出就会被触发,导致堆内存损坏。这可能允许攻击者执行任意代码,从而完全控制受害者的计算机。攻击者可以窃取敏感数据,安装恶意软件,或进行其他恶意活动。由于 Chrome 的广泛使用,此漏洞的潜在影响非常大,可能影响数百万用户。虽然目前尚未观察到大规模利用,但由于漏洞的严重性,攻击者可能会积极寻找利用方法。
利用背景
此漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模利用,但由于漏洞的严重性,攻击者可能会积极寻找利用方法。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 代码可能存在,建议安全团队密切关注相关信息。
威胁情报
漏洞利用状态
EPSS
0.56% (68% 百分位)
受影响的软件
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
最有效的缓解措施是立即将 Google Chrome 升级到 97.0.4692.71 或更高版本。如果由于兼容性问题无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤潜在的恶意 HTML 页面。此外,可以禁用 ANGLE 组件(不推荐,因为会影响图形性能),或者限制用户访问不受信任的网站。升级后,请验证 Chrome 版本是否已更新到修复版本,以确保漏洞已成功修复。
修复方法
将 Google Chrome 更新到 97.0.4692.71 或更高版本。此更新修复了 ANGLE 中的缓冲区溢出漏洞,该漏洞可能允许远程攻击者通过修改后的 HTML 页面执行任意代码。
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
什么是 CVE-2022-0104 — 缓冲区溢出在 Google Chrome?
CVE-2022-0104 是 Google Chrome 97.0.4692.71 之前的 ANGLE 组件中的一个缓冲区溢出漏洞,攻击者可以通过精心制作的 HTML 页面利用此漏洞,导致堆内存损坏。
我是否受到 CVE-2022-0104 在 Google Chrome 中的影响?
如果您使用的是 Google Chrome 97.0.4692.71 之前的版本,则可能受到此漏洞的影响。请立即升级到最新版本。
我如何修复 CVE-2022-0104 在 Google Chrome 中的问题?
最简单的修复方法是升级到 Google Chrome 97.0.4692.71 或更高版本。
CVE-2022-0104 是否正在被积极利用?
虽然目前尚未观察到大规模利用,但由于漏洞的严重性,攻击者可能会积极寻找利用方法。
在哪里可以找到 Google Chrome 官方关于 CVE-2022-0104 的安全公告?
请访问 Google Chrome 安全发布页面:https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html