谷歌修复Chrome年度第五个零日漏洞

谷歌在本周三发布的稳定频道更新中，修复了今年在Chrome浏览器中发现的第五个被积极利用的零日漏洞。该漏洞编号为CVE-2022-2856，在通用漏洞评分系统(CVSS)中被评为高危等级。

漏洞详情

根据谷歌发布的公告，该漏洞与“Intents中不受信任输入验证不足”有关。Intents是Chrome浏览器中取代URI方案的深度链接功能，用于处理移动应用间的链接跳转。

谷歌威胁分析小组(TAG)的Ashley Shen和Christian Resell于7月19日报告了这个可能导致任意代码执行的零日漏洞。此次更新还包含了针对其他10个Chrome问题的修复补丁。

根据MITRE通用弱点枚举站点的解释，输入验证不足与输入验证技术相关，该技术用于检查潜在危险输入，确保其在代码处理或与其他组件通信时的安全性。

“当软件未能正确验证输入时，攻击者能够以应用程序其余部分未预期的方式构造输入，”该站点上的文章指出，“这将导致系统部分接收到意外输入，可能引发控制流改变、资源的任意控制或任意代码执行。”

谷歌遵循惯例，在漏洞被广泛修复之前未披露具体细节，以避免威胁行为者进一步利用该漏洞。Tenable高级研究工程师Satnam Narang认为这一策略是明智的，因为公开被积极利用的零日漏洞细节可能带来严重后果。

考虑到其他Linux发行版和浏览器（如Microsoft Edge）也包含基于谷歌Chromium项目的代码，如果漏洞利用程序被发布，这些系统都可能受到影响。

虽然本次更新中的大多数修复针对高危或中危漏洞，但谷歌还修复了一个关键漏洞CVE-2022-2852，这是FedCM中的释放后使用问题。FedCM（联邦凭据管理API）为网络上的联邦身份流程提供了特定用例的抽象。

这是谷歌今年修复的第五个被积极利用的Chrome零日漏洞。此前在7月、5月、4月和3月，谷歌分别修复了涉及WebRTC、V8 JavaScript引擎和Chrome动画组件的多个零日漏洞，其中2月份的CVE-2022-0609漏洞被发现被朝鲜黑客利用。