内存安全周报第130期 |谷歌111版本修复了40个漏洞

一、谷歌111版本修复了40个漏洞（3.8）

Google向稳定频道发布了Chrome111版本，修复了40个漏洞，其中有8个高危漏洞。

详细情况

本周，Google宣布向稳定频道发布Chrome111版本，修复了40个漏洞。

外部研究员报告的已修复的安全漏洞总计24个，其中包括8个高危漏洞、11个中危漏洞和5个低危漏洞。

其中3个高危漏洞是释放后使用漏洞，受影响的有Swiftshader, DevTools, 和WebRTC，为此Google分别支付了$15,000, $4,000, 和$3,000的赏金。

Google的咨询员还提到了2个V8和CSS中的类型混淆漏洞，赏金分别为$10,000和7, 000；1个Crash reporting中的栈缓冲区溢出漏洞，赏金为$3,000; 2个Metrics和UMA中的堆缓冲区溢出漏洞，赏金暂未确定。

外部报告的中危漏洞中，有6个是影响浏览器组件（例如扩展 API、自动填充、Web 支付 API、导航和Intent）的策略执行不足的漏洞。

此外，Chrome 111版本还解决了权限提示、WebApp安装和自动填充中的中危的不当实施漏洞，Web Audio API中的1个堆缓冲区溢出漏洞，以及Core中的1个释放后使用漏洞。

此次浏览器更新解决的外部报告的低危漏洞包括：Resource Timing中的两个策略执行不足漏洞、Intent中的一个不恰当实现漏洞、DevTools中的一个类型混淆漏洞以及Internals中的一个不恰当实现漏洞。

最新的Chrome浏览器迭代目前是在Windows推出的111.0.5563.64/.65版本，在Linux和MacOS推出的111.0.5563.64版本。

参考链接

https://www.securityweek.com/chrome-111-patches-40-vulnerabilities/?web_view=true

二、CISA的KEV目录更新了3个威胁IT管理系统的新漏洞（3.8）

CISA的KEV目录更新了3个威胁IT管理系统的新漏洞。

详细情况

美国网络安全和基础设施安全局（CISA）在其已知已被利用的漏洞（KEV）目录中增加了三个安全漏洞，并引用了已活跃利用的证据。

漏洞清单如下：

CVE-2022-35914（CVSS评分：9.8）–Teclib GLPI远程代码执行漏洞

CVE-2022-33891 (CVSS评分: 8.8) – Apache Spark命令注入漏洞

CVE-2022-28810 (CVSS评分: 6.8) – Zoho ManageEngine ADSelfService Plus远程代码执行漏洞

3个漏洞中，最严重的是CVE-2022-35914，它与Teclib GLPI（一个开源资产和IT管理软件包）中第三方库htmlawed的远程代码执行漏洞相关。

攻击性质的具体细节尚不清楚，但Shadowserver基金会在2022年10月指出，存在利用其蜜罐的企图。

此外，根据GreyNoise收集的数据显示，有40个来自美国、荷兰、香港、澳大利亚和保加利亚的恶意IP地址，试图滥用这一漏洞。

第二个漏洞是Apache Spark中的一个未经身份认证的命令注入漏洞，Zerobot僵尸网络已经利用这个漏洞来选择易受攻击的设备，目的是进行分布式拒绝服务（DDoS）攻击。

最后，KEV目录中还增加了一个Zoho ManageEngine ADSelfService Plus的远程代码执行漏洞，该漏洞已于2022年4月被修补。

CISA表示：”多个Zoho ManageEngine ADSelfService Plus包含一个未明确的漏洞，允许在密码更改或重置时进行远程代码执行” 。

参考链接

https://thehackernews.com/2023/03/cisas-kev-catalog-updated-with-3-new.html?&web_view=true