Google、微軟分別修補已遭開採的瀏覽器零時差漏洞

Google和微軟上周分別發布最新版Chrome及Edge，以修補瀏覽器中一個已經有開採活動的高風險漏洞。

Google表示，Windows、macOS及Linux三個主要平臺的Chrome穩定通道已經更新到版本105.0.5195.102，將在未來幾天或幾周內部署到用戶端，呼籲用戶儘速安裝。

Google說明，新版本修補編號CVE-2022-3075的高風險漏洞，出於Mojo的資料驗證不足。Mojo是Chromium中用於進程間或進程內模組間通信（IPC）的runtime函式庫。新漏洞8月底由外部研究人員通報，Google沒有多做解釋細節，只說得知網路上已出現針對CVE-2022-3075的開採程式。

這項漏洞也會影響Chromium為核心的Edge瀏覽器。為此，微軟也釋出 Edge 最新版105.0.1343.27版。事實上，新加坡網路安全主管機關警告，基於Chromium的瀏覽器包括Brave、Opera和 Vivaldi都已更新到最新版本。

Google 也曾在2020年4月修補了Mojo元件的沙箱逃逸漏洞，能讓攻擊者在Chrome用戶電腦上執行惡意程式碼。而這也是Chrome今年修補的第6個零時差漏洞，其他漏洞分別在2、3、4、7、8月安全更新中修補。

Google上周才被安全廠商Lapcat Software揭露，在Chrome 104版存在一個可讓惡意網站在不需用戶同意下覆寫系統剪貼簿內容的漏洞。不過本漏洞還未獲得Google的證實。