谷歌修复Chrome本年度第五个零日漏洞

谷歌于本周三发布的稳定通道更新中，修复了今年在Chrome中发现的第五个已被积极利用的零日漏洞。该漏洞是此次系列修复中的一项。

漏洞详情

漏洞编号为CVE-2022-2856，在通用漏洞评分系统（CVSS）中被评为高风险等级。根据谷歌发布的公告，该漏洞与“Intents中未充分验证不可信输入”有关。

谷歌威胁分析小组（TAG）的Ashley Shen和Christian Resell于7月19日报告了这一零日漏洞，该漏洞可能允许攻击者执行任意代码。公告还披露了针对其他10个Chrome问题的补丁。

技术背景：Intents功能

Intents是Chrome浏览器在Android设备上的一项深度链接功能，取代了之前处理此过程的URI方案。根据为移动应用提供多种链接选项的公司Branch的解释：“在Chrome中，开发者需要使用本文档中定义的intent字符串，而不是分配window.location或iframe.src到URI方案。”Intent“增加了复杂性”，但“在链接中自动处理了移动应用未安装的情况”。

输入验证不足的风险

根据MITRE的常见弱点枚举（CWE）站点，输入验证不足与输入验证技术相关，这是一种常用技术，用于检查潜在危险的输入，确保它们在代码内处理或与其他组件通信时的安全性。“当软件未正确验证输入时，攻击者能够以应用程序其余部分未预期的形式构造输入，”该站点的一篇文章指出。“这将导致系统部分接收到意外输入，可能导致控制流改变、任意控制资源或任意代码执行。”

修复策略与行业观点

谷歌一如既往地未广泛披露漏洞的具体细节，以避免威胁行为者进一步利用该漏洞。一位安全专业人士指出，这一策略是明智的。

网络安全公司Tenable的高级研究工程师Satnam Narang在给Threatpost的电子邮件中表示：“在补丁可用时立即公开 actively exploited 零日漏洞的详细信息可能会带来可怕的后果，因为向易受攻击的系统推出安全更新需要时间，而攻击者正急于利用这类漏洞。”

保留信息也是合理的，因为其他Linux发行版和浏览器（如Microsoft Edge）也包含基于谷歌Chromium项目的代码。他表示，如果发布了漏洞利用代码，这些都可能受到影响。

“对于防御者来说，拥有这个缓冲期非常有价值，”Narang补充道。

其他修复内容

虽然更新中的大部分修复是针对高风险或中等风险的漏洞，但谷歌确实修补了一个关键漏洞，编号为CVE-2022-2852，这是FedCM中的一个释放后使用（use-after-free）问题，由谷歌零日计划的Sergei Glazunov于8月8日报告。FedCM（联合凭证管理API的缩写）为Web上的联合身份流程提供了特定用例的抽象，根据谷歌的说法。

今年Chrome零日漏洞修复回顾

这是谷歌今年迄今为止修复的第五个Chrome actively exploited 零日漏洞。

• 7月：公司修复了WebRTC中一个 actively exploited 的堆缓冲区溢出漏洞（CVE-2022-2294），WebRTC是赋予Chrome实时通信能力的引擎。
• 5月：另一个 actively exploited 的缓冲区溢出漏洞（CVE-2022-2294）获得了补丁。
• 4月：谷歌修补了CVE-2022-1364，这是一个类型混淆漏洞，影响Chrome的V8 JavaScript引擎的使用，攻击者已经利用了该漏洞。
• 3月：V8中另一个类型混淆问题（CVE-2022-1096）且 under active attack 也促使了紧急补丁。
• 2月：修复了今年第一个Chrome零日漏洞，即Chrome动画组件中的释放后使用漏洞（CVE-2022-0609），该漏洞已被攻击。后来透露，朝鲜黑客在该漏洞被发现和修补前几周就开始利用它。