一、 漏洞公告

近日，监测到Google Chrome官方发布了安全公告，修复了Google Chrome沙箱逃逸漏洞(CVE-2022-3075)，该漏洞是由于Mojo中不恰当的数据验证导致，成功利用此漏洞可突破浏览器沙箱限制在目标系统上执行任意代码。此漏洞影响范围广泛，已监测到在野利用，目前官方发布安全版本，建议受影响的用户尽快采取安全措施。

参考链接：https://chromereleases.googleblog.com/2022/09/stable-channel- update-for-desktop.html

二、影响范围

受影响版本：

Google Chrome Desktop（Windows/Mac/Linux）< 105.0.5195.102

安全版本：

Google Chrome Desktop（Windows/Mac/Linux）>= 105.0.5195.102

三、漏洞描述

Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。Mojo是一个Runtime库集合，有助于跨任意进程间和进程内边界的传递消息。

Google Chrome沙箱逃逸漏洞(CVE-2022-3075)： 该漏洞是由于Mojo中不恰当的数据验证导致。攻击者可通过多种方式诱导用户访问恶意链接来利用此漏洞。该漏洞通常需要结合其他远程代码执行漏洞使用，成功利用此漏洞可突破浏览器沙箱限制在目标系统上执行任意代码。

高危：目前已监测到在野利用，漏洞细节和测试代码虽暂未公开，但恶意攻击者可以通过版本对比分析出漏洞触发点，建议受影响用户及时升级到安全版本。

四、缓解措施

漏洞自查方法：

检查版本号： 在Google Chrome浏览器搜索栏输入：chrome://version/，即可查看当前浏览器版本信息。如果版本号符合上文所示的受影响版本则属于漏洞版本；反之不属于漏洞版本。

官方建议：

目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。下载地址： https://www.google.cn/intl/zh-CN/chrome/update/

注：可在Chrome菜单->【帮助】->【关于 Google Chrome】检查版本更新，并在更新完成后重新启动。

来源：google官方