一、漏洞详情

Google Chrome是Google（谷歌）公司开发的Web浏览器。

Google Chrome发布更新公告，修复了Chrome中的多个安全漏洞，其中CVE-2022-2856已发现在野利用，详情如下：

Chrome中的Intents功能可以直接从网页上启动应用程序和web服务，由于Intents中对不受信任的输入验证不足，成功利用此漏洞可能导致任意代码执行。

Google Chrome本次安全更新还修复了如下漏洞：

CVE-2022-2852：FedCM 中的Use-After-Free（严重）

CVE-2022-2854：SwiftShader中的Use-After-Free（高危）

CVE-2022-2855：ANGLE中的Use-After-Free（高危）

CVE-2022-2857：Blink中的Use-After-Free（高危）

CVE-2022-2858：Sign-In Flow中的Use-After-Free（高危）

CVE-2022-2853：Downloads中的堆缓冲区溢出（高危）

CVE-2022-2859：Chrome OS Shell中的Use-After-Free（中危）

CVE-2022-2860：Cookie 中的策略执行不足（中危）

CVE-2022-2861：扩展API中的实施不当（中危）

CVE-2022-2856是Google Chrome在2022年修复的第5个被利用的0day漏洞，其它4个漏洞分别为：

CVE-2022-0609 ：Animation中的Use-After-Free

CVE-2022-1096 ：V8 中的类型混淆

CVE-2022-1364 ：V8中的类型混淆

CVE-2022-2294 ：WebRTC 中的堆缓冲区溢出

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Google Chrome Desktop < 104.0.5112.101 (Mac/linux)

Google Chrome Desktop <104.0.5112.102/101 (Windows)

Google Chrome Extended < 104.0.5112.101（Mac）

Google Chrome Extended < 104.0.5112.102（Windows）

三、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Google Chrome Desktop >= 104.0.5112.101 (Mac/linux)

Google Chrome Desktop >=104.0.5112.102/101(Windows)

Google Chrome Extended >= 104.0.5112.101（Mac）

Google Chrome Extended >=104.0.5112.102（Windows）

下载链接：https://www.google.com/chrome/

注：可在浏览器-【设置】-【关于Chrome】检查版本更新，并在更新完成后重新启动。