Google釋出Chrome 98，修補27項安全漏洞

Google Chrome團隊本周宣布釋出Chrome 98桌機版到穩定版（stable）通道，修補了27項安全漏洞，包括8項重大漏洞。

本周釋出的Chrome 98包括Windows、Mac及Linux版，其中Windows版包括Chrome 98.0.4758.80/81/82，macOS及Linux版則為98.0.4758.80版。此外，Chrome團隊也在新的延伸穩定（extended stable）通道釋出Chrome 98。所有新版本會在未來幾天到幾周內，完成部署到用戶端。

最新版Chrome修補的27項安全漏洞中，有8項高風險漏洞，以及中、低風險漏洞各9項和1項。其中CVE-2022-0452及CVE-2022-0453分別位於安全上網（Safe Browsing）及Chrome閱讀器模式（Reader Mode），皆屬使用已釋放記憶體（use after free）漏洞，通報的研究人員各得2萬美元。

CVE-2022-0454為ANGLE元件中的堆積記憶體緩衝溢位（heap buffer overflow）漏洞，CVE-2022-0455則為全螢幕模式（Full Screen Mode）的實作不當。Google各為此頒發1.2萬及7,500美元抓蟲獎金。其他還包括網頁搜尋模式、分頁縮圖串（Thumbnail Tab Strip）、及螢幕截圖（Screen Capture）工具的使用已釋放記憶體漏洞CVE-2022-0456、CVE-2022-0458及CVE-2022-0459，以及V8引擎中的型態混淆（Type Confusion）漏洞CVE-2022-0457，Google發出1,000到7,000美元的獎金。

此外，Chrome 98修補的9個中度風險漏洞中，6個為使用已釋放記憶體漏洞，位於Windows對話彈出視窗、輔助工具、擴充程式、支付及投放（Cast）功能。3個屬實作不當漏洞，分布於捲軸、擴充程式平臺及游標鎖定（pointer lock）。1個是COOP（Cross-Origin Opener Policy）中的政策繞過漏洞。而唯一一個低風險漏洞位於V8引擎，屬越界記憶體存取（out of bounds memory access）漏洞。