CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2022-4135

CVSS 9.6v3.1pub. 2022-11-25upd. 2025-10-24

Heap buffer overflow in GPU in Google Chrome prior to 107.0.5304.121 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Google Chrome

    APP
    Google
    < 107.0.5304.121
  • Microsoft Edge

    APP
    Microsoft
    < 107.0.1418.62
  • Microsoft Edge

    APP
    Microsoft
    < 107.0.5304.150

CISA KEV — szczegółyi

Dostawcai
Google
Produkti
Chromium GPU
Data dodania do KEVi
28 listopada 2022
Termin remediation (USA)i
19 grudnia 2022(po terminie)
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami producenta.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Chromium GPU w Google zawiera lukę typu heap buffer overflow, która umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, potencjalnie dokonanie sandbox escape poprzez specjalnie przygotowaną stronę HTML. Ta luka może wpłynąć na wiele przeglądarek internetowych wykorzystujących Chromium, w tym między innymi Google Chrome, Microsoft Edge i Opera.

tłumaczenie AI
Pokaż oryginał (EN)

Google Chromium GPU contains a heap buffer overflow vulnerability that allows a remote attacker, who has compromised the renderer process, to potentially perform a sandbox escape via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 19 grudnia 2022
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7971CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox