Google Chrome团队本周宣布发布Chrome 98PC机版到稳定版(stable)信道,修补了27项安全漏洞,包括8项重大漏洞。
本周发布的Chrome 98包括Windows、Mac及Linux版,其中Windows版包括Chrome 98.0.4758.80/81/82,macOS及Linux版则为98.0.4758.80版。此外,Chrome团队也在新的延伸稳定(extended stable)信道发布Chrome 98。所有新版本会在未来几天到几周内,完成部署到用户端。
最新版Chrome修补的27项安全漏洞中,有8项高风险漏洞,以及中、低风险漏洞各9项和1项。其中CVE-2022-0452及CVE-2022-0453分别位于安全上网(Safe Browsing)及Chrome阅读器模式(Reader Mode),皆属使用已释放内存(use after free)漏洞,通报的研究人员各得2万美元。
CVE-2022-0454为ANGLE组件中的堆积内存缓冲溢出(heap buffer overflow)漏洞,CVE-2022-0455则为全面屏模式(Full Screen Mode)的实例不当。Google各为此颁发1.2万及7,500美元抓虫奖金。其他还包括网页搜索模式、分页缩略图串(Thumbnail Tab Strip)、及屏幕截屏(Screen Capture)工具的使用已释放内存漏洞CVE-2022-0456、CVE-2022-0458及CVE-2022-0459,以及V8引擎中的形态混淆(Type Confusion)漏洞CVE-2022-0457,Google发出1,000到7,000美元的奖金。
此外,Chrome 98修补的9个中度风险漏洞中,6个为使用已释放内存漏洞,位于Windows对话弹出窗口、辅助工具、扩展程序、支付及投放(Cast)功能。3个属实例不当漏洞,分布于卷轴、扩展程序平台及光标锁定(pointer lock)。1个是COOP(Cross-Origin Opener Policy)中的政策绕过漏洞。而唯一一个低风险漏洞位于V8引擎,属越界内存访问(out of bounds memory access)漏洞。