Bleeping Computer 网站消息，谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127，以解决一个在野被利用高严重性零日漏洞（CVE-2022-1364）。

谷歌方面表示，Chrome 浏览器的更新版本将在未来几周内推出。目前，用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器，立即收到更新。另外，浏览器也会自动检查更新，在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌浏览器更新

谷歌方面强调，该漏洞正在被积极利用，强烈建议用户手动检查更新并重新启动浏览器应用新版本。

披露的几个漏洞细节

据悉，谷歌新修复的零日漏洞追踪为 CVE-2022-1364，是 Chrome V8 JavaScript 引擎中一个高严重性类型混淆漏洞，由谷歌威胁分析小组成员 Clément Lecigne 发现。

根据以往经验来看，攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存，导致浏览器系统崩溃。除此之外，攻击者也可以利用该漏洞执行任意代码。漏洞披露不久后，谷歌方面表示，安全研究人员已经检测到利用该零日漏洞的网络攻击行为，但是没有提供关于网络攻击活动的具体细节。

另外，谷歌强调，对漏洞细节和链接的访问可能会一直受到限制，直到大多数用户应用更新版本。值得一提的是，CVE-2022-1364 是本次更新中唯一披露的漏洞，侧面说明为了解决这个问题，谷歌紧急推出了Chrome 100.0.4896.127版本。

今年修复的第三个 Chome 零日

加上此次更新，2022 年，谷歌已经解决了三个 Chrome 零日漏洞，下面列出了今年发现的另外两个漏洞 。

CVE-2022-1096 - 3月25日

CVE-2022-0609 - 2月14日

参考文章：

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/