谷歌為Chrome瀏覽器今年的第五個 "0 day漏洞" 打補丁

語言: CN / TW / HK

谷歌已經修補了今年在Chrome瀏覽器中發現的第五個被大量利用的0 day漏洞,這是在本週三穩定更新通道中釋出的一系列修復措施之一。

根據谷歌釋出的公告,該漏洞被追蹤為CVE-2022-2856,在通用漏洞評分系統(CVSS)中評為高分,該漏洞是由於針對Intents中不受信任的輸入驗證不嚴謹造成的。

谷歌感謝其谷歌威脅分析小組(TAG)的Ashley Shen和Christian Resell在7月19日報告的這個0 day漏洞,它可能會允許任意程式碼執行。該公告還公佈了其他的10個各種Chrome漏洞的補丁。

據為移動應用提供各種連結功能的Branch公司稱,Intents是安卓裝置上的Chrome瀏覽器中的一種深度連結功能,它取代了以前處理這一過程的URI方案。

該公司在其網站上解釋道,在Chrome瀏覽器中,開發者不需要將window.location或iframe.src分配給URI方案,而是隻是需要使用本檔案中所定義的字串。

根據MITRE的常見漏洞收集網站,不充分的驗證漏洞與輸入驗證的實現有關,輸入驗證是一種經常使用的技術,用於檢查那些潛在的危險的內容輸入,確保它們在程式碼內的處理過程是安全的,或者在與其他元件通訊時是安全的。

根據該網站上的一篇文章,當軟體沒有正確驗證輸入時,攻擊者能夠使用應用程式中的其他形式進行輸入。這將會導致系統的某些部分收到非預期的輸入,也可能會導致控制流的改變,實現對資源的任意控制,或任意程式碼的執行。

防範漏洞

典型的做法是,一直到它被大面積的修補之後,谷歌才開始披露該漏洞的具體細節,避免威脅者對它進一步進行利用,一位安全專家指出,這是一個明智的策略。

高階研究工程師Satnam Narang在給媒體的一封電子郵件中指出,在漏洞還可被大量利用時,直接公佈一個0 day漏洞的細節可能會產生可怕的後果,因為這些系統進行安全更新可能需要時間,而攻擊者卻可以在此時大量的利用這些型別的漏洞。

鑑於其他的Linux發行版和瀏覽器,如微軟的Edge,也使用了基於谷歌Chromium專案的程式碼,所以官方隱瞞資訊也是合理的。他說,如果一個漏洞的利用方法被公佈出去,這些應用程式都可能會受到影響。

Narang補充說,這對防禦者來說,擁有這個時間緩衝區是非常重要的。

雖然在更新中的大部分修復都是針對被評為高風險或中等風險的漏洞,但這次谷歌確實修補了一個被追蹤為CVE-2022-2852的關鍵漏洞,這是谷歌零度專案的Sergei Glazunov於8月8日報告的FedCM中存在的一個漏洞。據谷歌稱,FedCM是聯邦憑證管理API的簡稱。

迄今為止的第五個Chrome 0Day補丁

這個0 day補丁是迄今為止,谷歌今年修補的第五個容易受到主動攻擊的Chrome漏洞。

7月,該公司還修復了WebRTC中的一個被主動利用的堆緩衝區溢位漏洞,該引擎使Chrome具有了實時通訊能力,而在5月,另一個單獨的緩衝區溢位缺陷被跟蹤為CVE-2022-2294,該漏洞一直處於主動攻擊中,之後被打上了補丁。

4月,谷歌修復了CVE-2022-1364,這是一個影響Chrome瀏覽器使用V8 JavaScript引擎的型別混淆漏洞,攻擊者已經對其進行了攻擊。上個月,V8中的一個型別混淆漏洞被追蹤為CVE-2022-1096,並一直受到主動攻擊,這也刺激了谷歌匆忙釋出了補丁。

2月,Chrome瀏覽器今年的第一個0 day漏洞得到了修復,Chrome瀏覽器的動畫元件中的一個免費使用漏洞被追蹤為CVE-2022-0609,並且已經受到了廣泛的攻擊。後來發現,朝鮮黑客在發現和修補該漏洞的前幾周就已經在利用該漏洞了。

本文翻譯自:https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/如若轉載,請註明原文地址。