Experian 严重漏洞暴露信用报告
近日,有记者在消费者和企业信用报告领域的全球领导者 Experian 的官方网站上披露了一个安全漏洞的惊人细节,该漏洞正被身份盗窃诈骗者利用,而 Experian 对此一无所知。到 2022 年底,Experian 网站允许用户绕过这些 MCQ,在输入姓名、出生日期、地址和社会安全号码后直接访问信用报告。 乌克兰安全研究员 Jenya Kushnir 向记者透露了这个漏洞,身份窃贼正在利用这个漏洞,因为他们可以通过专门用于此目的的 Telegram 聊天频道获取被盗身份。根据 Kushnir 的调查结果,网络犯罪分子可以通过在身份验证过程中的某个时刻编辑浏览器 URL 栏中的地址来诱骗 Experian 网站允许他们访问任何用户的信用报告。 访客必须提供他们的姓名、出生日期、地址和社会安全号码。当 Brian Krebs 提供此信息时,他被重定向到 Experian.com 以完成身份验证。那是 MCQ 出现的阶段。 然而,Kushnir 指出,在这个阶段,如果他将 URL 的最后一部分从“/acr/oow/”更改为“/acr/report”,他的信用报告就会出现。当他被重定向到 Experian 网站时,它没有显示 MCQ,而是显示了 URL“/acr/OcwError”,表明它没有足够的数据来验证他的身份。接下来,该网站为 Krebs 提供了三个选项: 发送带有身份验证文件的信用报告电子邮件 致电益博睿 在网站上传身份证明 当 Krebs 按照 Kushnir 告诉他的那样将 URL 更改为“/acr/report”时,即使 Experian 无法验证他的身份,他也会看到他的完整信用档案。 Brian Krebs于 2022 年 12 月 23 日与 Experian分享了他的发现,该公司的公关团队于 2022 年 12 月 27 日确认了该通知。在此期间,该漏洞得到了修补。然而,目前还不清楚这个问题被身份窃贼知道并被利用了多久。Experian 安全和数据泄露 Experian 是世界领先的信用报告机构之一,收集和汇总超过 10 亿人和企业的信息。它可以访问 2.35 亿美国个人消费者以及 2500 万美国企业的数据,使其成为金融机构、雇主、房东等的强大工具。 Experian 也因大规模数据泄露和严重安全漏洞而闻名。几年前,一个这样的漏洞允许攻击者获得客户的账户访问权限和他们的信用冻结 PIN 码。 2020 年 8 月,据透露,Experian 遭受了大规模数据泄露,其中 2200 万客户的个人详细信息被盗。在另一起事件中,Experian 巴西分会 Serasa Experian 再次遭受数据泄露,导致 2.23 亿人的数据在黑客论坛上泄露。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/Ct1Coet0Fa5jZVO1fETNbg 封面来源于网络,如有侵权请联系删除
高通骁龙通告 22 个安全漏洞,联想、微软和三星设备受影响
高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。 以下是公司解决的最严重漏洞报告: 最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。 高通公司修复的另外两个严重问题是: CVE-2022-33218(CVSS 得分 8.2) – 该漏洞是由于输入验证不当而导致的汽车内存损坏。 CVE-2022-33265(CVSS 得分 7.3)– 该漏洞是电力线通信固件中的信息暴露。 这些漏洞影响了使用联想,微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。 联想发布安全更新 1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。 本次ThinkPad X13s BIOS更新中共修复了如下漏洞: CVE-ID 类型 评分 受影响产品/组件 描述 CVE-2022-40516 基于堆栈的缓冲区溢出导致内存损坏 8.4 Qualcomm BIOS 本地用户可利用这些漏洞导致内存损坏、拒绝服务或任意代码执行。 CVE-2022-40517 CVE-2022-40520 CVE-2022-40518 缓冲区过度读取 6.8 Qualcomm BIOS 本地用户可利用这些漏洞导致信息泄露。 CVE-2022-40519 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 缓冲区过度读取 None ThinkPad X13s BIOS 本地用户可利用这些漏洞导致信息泄露。 影响范围 ThinkPad X13s BIOS 版本<1.47 (N3HET75W) 目前这些漏洞已经修复,Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354778.html 封面来源于网络,如有侵权请联系删除
突破太空网络安全!航天器关键技术爆严重漏洞
当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断,必须保证每次都能按时交付关于何时/如何移动的明确指示。 宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作,发现了该系统及其他安全关键系统所使用的网络技术中,存在一个严重漏洞“PCspooF”。 这种网络技术被称为“时间触发以太网”,简称TTE,已在航空、航天和重工业领域应用了十多年。在这类场景下,会有多种不同类型的信息持续在计算机网络中传播,但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权,因此无需单独部署专用的网络硬件。 对于NASA来说,通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要,因为它必须精打细算航天器的每一克重量。而此次研究结果表明,时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。 图:PCspooF漏洞攻击过程概述 Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci,共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。 在NASA约翰逊航天中心工作期间,Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。 结果表明,低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰,进而让恶意消息顺利通过原本会阻止它们的交换机。 Phan表示,“时间触发以太网技术在关键系统中被广泛应用,因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠,那么以此为基础建立的一切都会土崩瓦解。” 该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议,包括将铜缆替换为光纤及其他光频隔离器。 Loveless表示,“各方都非常愿意采取缓解措施。据我们所知,该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。” 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/Ex-y0w5gR-qkCEwsfaGT7A 封面来源于网络,如有侵权请联系删除
奔驰、宝马等汽车品牌存在 API 漏洞,可能暴露车主个人信息
Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。 据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。 谁发现了 AP I安全漏洞? 网络安全研究员 Sam Curry 和其研究团队,在数十家顶级汽车制造商生产的车辆和车联网服务中,发现了API 漏洞问题。 此前,Sam Curry于 2022 年 11 月披露了现代、Genesis、本田、讴歌、日产、英菲尼迪和 SiriusXM 的安全问题。 目前,受影响的供应商已经修复所有漏洞问题,现在无法利用这些漏洞。在经过了 90 天的漏洞披露期后,Curry 团队发表了一篇关于更详细的 API 漏洞博客文章,展示了黑客如何利用这些漏洞来解锁和启动汽车。 攻击者可以利用漏洞,访问内部系统 宝马和奔驰中发现了最严重的 API 漏洞,这些漏洞受到 SSO(单点登录)漏洞的影响,攻击者可以利用访问内部业务系统。 例如在对梅赛德斯-奔驰的测试中,研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例,并成功连接到客户汽车的 XENTRY 系统 等。 梅赛德斯-奔驰内部系统(资料来源:Sam Curry) 在对宝马的测试中,研究人员可以访问内部经销商门户网站,查询任何汽车的 VIN,并检索包含敏感车主信息的销售文件。此外,攻击者还可以利用 SSO 漏洞,以员工或经销商的身份登录账户,访问保留给内部使用的应用程序。 访问宝马门户网站上的车辆详细信息(资料来源:Sam Curry) 暴露车主详细信息 研究人员利用其它 API 漏洞,可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳斯莱斯、法拉利、福特、丰田、保时捷等汽车品牌车主的个人身份信息。 对于豪华品牌汽车来讲,披露车主信息特别危险,因为在某些情况下,数据中包括销售信息、物理位置和客户居住地址。例如法拉利在其 CMS 上的 SSO 漏洞,暴露了后端 API 路线,使其有可能从 JavaScript 片段中提取凭据。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户账户,管理他们的车辆资料,甚至可以将自己设定为车主。 披露法拉利用户数据细节(资料来源:Sam Curry) 跟踪车辆 GPS API 漏洞可能允许黑客实时跟踪汽车,带来潜在的物理风险,并影响到数百万车主的隐私,其中保时捷是最受影响的品牌之一,其远程信息处理系统漏洞使攻击者能够检索车辆位置并发送指令。 GPS 跟踪解决方案 Spireon 也易受汽车位置泄露的影响,涉及到 1550 万辆使用其服务的车辆,甚至允许管理员访问其远程管理面板,使攻击者能够解锁汽车、启动引擎或禁用启动器。 Spireon 管理面板上的历史 GPS 数据(资料来源:Sam Curry) 值得一提的是,数字车牌制造商 Reviver 也容易受到未经验证的远程访问其管理面板的影响,该面板可能允许任何人访问 GPS 数据和用户记录、更改车牌信息等。 Curry 表示这些漏洞或允许攻击者在 Reviver 面板上将车辆标记为 “被盗”,这会自动将事件通知警方,从而使车主/驾驶员面临不必要的风险。 远程修改 Reviver 车牌(资料来源:Sam Curry) 最大限度地减少安全风险 车主可以通过最大限度减少存储在车辆或汽车 APP 中的个人信息,来保护自己免受此类漏洞的影响。此外,将车载远程信息处理设置为最高私密等级,并阅读汽车厂家的隐私政策,以了解其数据的使用方式也至关重要。 最后,Sam Curry 着重强调,当购买二手车时,请确保前车主的帐户已被彻底删除。如果有条件的话,尽量使用强密码,并为车辆的应用程序和服务设置双因素认证。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354346.html 封面来源于网络,如有侵权请联系删除
华为鸿蒙系统去年修复近 300 个漏洞,超 3 成是高危漏洞
2022年,中国科技巨头华为为旗下的鸿蒙操作系统修复了近300个漏洞。 直到2019年,华为旗下智能手机及其他设备仍在运行Android系统。但随后美国政府一纸政令,禁止美国企业向华为出售软件和技术。 同年稍晚时候,华为发布鸿蒙操作系统(HarmonyOS),可适配手机、平板、电视、可穿戴设备及车载信息娱乐系统等平台。 华为意识到,要想与Android和iOS正面对抗,操作系统一定要安全。为此,公司组织起漏洞奖励计划,为上报的关键漏洞和漏洞利用链给予丰厚奖励。 安全媒体SecurityWeek分析显示,鸿蒙系统在2022年修复了290多个漏洞,其中包括近100个影响第三方库的安全漏洞。这些数据来自华为公司去年发布的月度安全公告。 其中有20余个漏洞被划定为“严重”等级,94个漏洞被评为“高”威胁等级。 这些漏洞可被用于实施拒绝服务(DoS)攻击、远程代码执行、信息获取和权限提升等活动。 根据CVE Details公布的数据,Android系统在2022年约修复了800个漏洞,相比之下数量高出近两倍。当然,Android的应用范围远高于鸿蒙系统,所以受到的安全研究检查也更多。 在鸿蒙漏洞奖励计划中,华为给可能导致任意代码执行的零点击漏洞开出达100万欧元的奖励。而能用绕过新型锁屏机制的研究者,则可获得最高12万欧元报酬。 转自 安全内参,原文链接:https://www.secrss.com/articles/50707 封面来源于网络,如有侵权请联系删除
微软安全研究人员发现 macOS 漏洞 可让恶意软件绕过安全检查
苹果公司已经修复了一个漏洞,攻击者可以通过能够绕过Gatekeeper应用程序执行限制的不受信任的应用程序在脆弱的macOS设备上部署恶意软件。该安全漏洞”Achilles”由微软首席安全研究员Jonathan Bar Or发现并报告,现在被追踪为CVE-2022-42821。一周前,即12月13日,苹果在macOS 13(Ventura)、macOS 12.6.2(Monterey)和macOS 1.7.2(Big Sur)中解决了这个漏洞。 Gatekeeper是一个macOS安全功能,它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名(经苹果公司批准),在启动前要求用户确认,或发出应用程序不可信的警告。 这是通过检查一个名为com.apple.quarantine的扩展属性来实现的,该属性由网络浏览器分配给所有下载文件,类似于Windows中的Mark of the Web。 该缺陷允许特别制作的载荷滥用逻辑问题,设置限制性的访问控制列表(ACL)权限,阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动,而不是被Gatekeeper阻挡,使攻击者能够下载和部署恶意软件。 微软周一表示,”苹果在macOS Ventura中引入的锁定模式,是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能,旨在阻止零点击远程代码执行漏洞,因此不能防御Achilles”。微软安全威胁情报团队补充说:”无论他们的锁定模式状态如何,终端用户都应该应用苹果发布的已修复版本”。 这只是过去几年发现的多个Gatekeeper旁路之一,其中许多被攻击者在外部滥用,以规避macOS安全机制,如Gatekeeper、文件隔离和系统完整性保护(SIP)在完全打过补丁的Mac上。 例如,Bar Or在2021年报告了一个被称为Shrootless的安全漏洞,可以让威胁者绕过系统完整性保护(SIP),在被攻击的Mac上进行任意操作,将权限提升到root,甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir,这是一个允许攻击者绕过透明、同意和控制(TCC)技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞(CVE-2022-26706)的利用代码,可以帮助攻击者绕过沙盒限制,在系统上运行代码。 最后但并非最不重要的是,苹果在2021年4月修复了一个零日macOS漏洞,使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查,并在受感染的Mac上下载更多的恶意软件。 Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序,并使用多年的技术来提升权限和禁用macOS的Gatekeeper,以运行未签署的载荷。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7179139903052546575/ 封面来源于网络,如有侵权请联系删除
微软修补了用来传播勒索软件的 Windows 零日漏洞
据BleepingComputer12月14日消息,微软在最近的一次“星期二更新”中修复了一个备受关注的、编号为CVE-2022-44698的零日漏洞,攻击者可用来规避 Windows SmartScreen 安全功能并提供 Magniber 勒索软件和 Qbot 恶意软件的有效负载。 攻击者使用恶意的独立 JavaScript 文件来利用零日漏洞绕过 Windows 显示的 Mark-of-the-Web 安全警告,该警告可以提醒用户应谨慎对待来自 Internet 的文件。 根据微软的说法,攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御,从而导致安全功能(例如 Microsoft Office 中的受保护视图)的完整性和可用性受损,这些功能都依赖于 MOTW 标记。微软还列出了该漏洞被利用的三种具体方式: 在基于 Web 的攻击情形中,攻击者可能利用恶意网站进行安全绕过。 在电子邮件或即时消息攻击场景中,攻击者可以向目标用户发送一个特制的 .url 文件,该文件旨在利用绕过漏洞。 受感染的网站或一些接受用户托管的网站可能包含特制内容以利用安全功能绕过。 但无论如何,攻击者都必须诱使目标打开恶意文件或访问具有 CVE-2022-44698 漏洞的网站。 据悉,HP 的威胁情报团队在 今年10 月首次发现并报告了该漏洞,他们发现网络钓鱼攻击正在使用独立的.JS JavaScript文件分发Magniber勒索软件,ANALYGENCE 的高级漏洞分析师 Will Dormann发现该文件的数字签名能够导致 SmartCheck 出错,在没有任何安全警告的情况下允许恶意文件执行并安装 Magniber 勒索软件,即使该文件已拥有MOTW标记。 上个月,攻击者同样利用该零日漏洞,在网络钓鱼攻击中投放 Qbot 恶意软件。 转自 Freebuf,原文链接:https://www.freebuf.com/news/352566.html 封面来源于网络,如有侵权请联系删除
继公布开源计划之后,谷歌又推出最大的开源漏洞数据库
当地时间12月13日,谷歌宣布开源OSV-Scanner,该开源漏洞扫描仪可访问各种项目的漏洞信息,加强软件供应链安全。 谷歌软件工程师Rex Pan向媒体介绍,该工具基Go语言编写,由开源漏洞(OSV)数据库提供支持,可以生成可靠和高质量的漏洞信息,填补了开发人员的软件包清单与漏洞数据库信息之间的空白。 扫描仪的原理是利用从OSV.dev数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。 OSV.dev数据库拥有3.8万个共建者,支持16个生态系统,包括所有主要语言、Linux发行版(Debian和Alpine)、安卓、Linux内核和OSS-Fuzz。安全告警数量比一年前的1.5个多,其中Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)占据告警量前五。 下一步,谷歌计划建立一个“高质量数据库”来支持C/C++漏洞,包括向CVEs添加 “精确的提交级元数据”。 10月20日,谷歌还推出了开源计划GUAC(Graph for Understanding Artifact CompositionGUAC),加强软件供应链安全。 GUAC收集并综合执行此类分析所需的源自不同来源的所有信息,如软件物料清单 (SBOM)、已知漏洞信息和关于某特定软件如何构建的签名证明书等。用户将能够从GUAC查询其软件中最常使用的关键组件信息、相关依赖信息和任意潜在弱点和漏洞信息。 上周,谷歌还发布了一份《安全展望》报告,呼吁组织开发和部署一个通用的SLSA框架,以防止篡改,提高完整性,并保护软件包免受潜在威胁。 该公司提出的其他建议包括承担额外的开源安全责任,并采用更全面的方法来解决近年来Log4j漏洞和SolarWinds事件等风险。 谷歌表示,“软件供应链攻击通常需要强大的技术才能和长期的承诺才能实现。复杂的行为者更有可能具有进行这些类型攻击的意图和能力。大多数组织都很容易受到软件供应链攻击,因为攻击者会花时间瞄准与客户网络有可信连接的第三方提供商。然后,他们利用这种信任更深入地挖掘最终目标的网络。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/352442.html 封面来源于网络,如有侵权请联系删除
思科爆出严重漏洞,更新补丁明年一月才能发布
The Hacker News 网站披露,近日思科发布了新的安全公告,指出 IP 电话(网络电话) 7800 和 8800 系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒绝服务(DoS)情况。 漏洞被追踪为 CVE-2022-20968(CVSS 评分:8.1),由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉,漏洞产生的原因是在收到 Cisco 发现协议(CDP)数据包时,存在输入验证不足的情况,思科目前正在积极开发新补丁来解决漏洞问题。 注:通过运行 CDP 协议,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及 IP 地址,硬件平台等相关信息。(默认情况下自动开启。) 漏洞最早要明年一月才能修复 2022 年 12 月 8 日,Cisco 在一份公告中表示,潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞,若成功利用漏洞,潜在攻击者能够造成堆栈溢出,导致受影响设备上可能出现远程代码执行或拒绝服务(DoS)的情况。 值得一提的是,漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话,思科方面声称目前暂时没有更新补丁和解决方案来解决该问题,但公司正在加紧开发更新补丁,计划在 2023 年 1 月发布。 此外,在同时支持 CDP 和链路层发现协议(LLDP)用于邻居发现的部署中,用户可以选择禁用 CDP,以便受影响的设备能够切换到 LLDP,向局域网(LAN)中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险,需要企业努力评估设备可能会受到的任何潜在影响。 最后,思科强调,CVE-2022-20968 漏洞虽已被公开披露,但迄今为止,没有证据表明该漏洞在野外被积极滥用。 转自 Freebuf,原文链接:https://www.freebuf.com/news/352199.html 封面来源于网络,如有侵权请联系删除
Google 发布 Chrome 108 浏览器紧急更新以修补零日漏洞
上周五,Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新,以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做,请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本,在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说,CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉,那是因为这是今年Chrome浏览器中的第三个此类漏洞。 正如我们之前解释的那样,如果攻击者利用类型混淆漏洞,可以让他们在浏览器中执行任意代码。如果他们有必要的权限,他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞,因为Google希望大家在分享细节之前更新Chrome。 “对错误细节和链接的访问可能会保持限制,直到大多数用户都更新了修复程序,”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中,但尚未修复,我们也将保留限制。” 这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面,涉及GPU的堆缓冲区溢出。 当你打开浏览器时,Chrome浏览器并不总是应用最新的更新,所以如果你想检查并查看你正在运行的版本,请进入设置界面,然后在屏幕左侧的菜单栏底部的”关于Chrome”。 转自 cnbeta,原文链接:https://www.toutiao.com/article/7172756651026907659/ 封面来源于网络,如有侵权请联系删除