谷歌修复Chrome年度第五个零日漏洞 | Threatpost

作者：Elizabeth Montalbano
2022年8月18日 上午10:31

本周更新中修复的11个漏洞之一——输入验证不足缺陷，可能导致任意代码执行，且正在遭受主动攻击。

谷歌周三发布了稳定渠道更新，修复了今年在Chrome中发现的第五个被主动利用的零日漏洞。该漏洞编号为CVE-2022-2856，在通用漏洞评分系统（CVSS）中被评为高危级别。根据谷歌发布的公告，该漏洞与“Intents中不受信任输入验证不足”有关。

谷歌感谢其威胁分析小组（TAG）的Ashley Shen和Christian Resell于7月19日报告了这一零日漏洞，该漏洞可能导致任意代码执行。公告还披露了针对其他Chrome问题的10个补丁。

Intents是Chrome浏览器中Android设备上的一种深度链接功能，取代了之前处理此过程的URI方案。根据为移动应用提供各种链接选项的公司Branch的解释：“在Chrome中，开发者需要使用本文档中定义的intent字符串，而不是分配window.location或iframe.src到URI方案。”Intent“增加了复杂性”，但“自动处理了移动应用未安装的情况”。

根据MITRE的常见弱点枚举站点，输入验证不足与输入验证技术相关，这是一种常用技术，用于检查潜在危险的输入，确保它们在代码处理或与其他组件通信时是安全的。“当软件未正确验证输入时，攻击者能够以应用程序其余部分未预期的形式构造输入，”该站点的一篇文章指出。“这将导致系统部分接收到意外输入，可能导致控制流改变、资源的任意控制或任意代码执行。”

抵御漏洞利用

与往常一样，谷歌未披露该漏洞的具体细节，直到广泛修复以避免威胁行为者进一步利用它。一位安全专业人士指出，这是一种明智的策略。

网络安全公司Tenable的高级研究工程师Satnam Narang在给Threatpost的电子邮件中表示：“在补丁可用时公开有关主动利用的零日漏洞的细节可能会带来严重后果，因为向易受攻击的系统推出安全更新需要时间，而攻击者正急于利用这类漏洞。”

保留信息也是合理的，因为其他Linux发行版和浏览器（如Microsoft Edge）也包含基于谷歌Chromium项目的代码。如果发布了漏洞利用程序，这些都可能受到影响。“对于防御者来说，拥有这个缓冲期非常有价值，”Narang补充道。

虽然更新中的大多数修复是针对被评为高危或中危的漏洞，但谷歌确实修复了一个关键漏洞，编号为CVE-2022-2852，这是FedCM中的一个释放后使用问题，由谷歌Project Zero的Sergei Glazunov于8月8日报告。FedCM（联邦凭据管理API的缩写）为Web上的联邦身份流提供了特定用例的抽象。

今年第五个Chrome零日补丁

此次零日补丁是谷歌今年修复的第五个遭受主动攻击的Chrome漏洞。

7月，该公司修复了WebRTC中一个被主动利用的堆缓冲区溢出漏洞，编号为CVE-2022-2294，WebRTC是赋予Chrome实时通信能力的引擎。5月，另一个缓冲区溢出漏洞编号为CVE-2022-2294，也遭受主动攻击并被打上补丁。

4月，谷歌修复了CVE-2022-1364，这是一个类型混淆漏洞，影响Chrome的V8 JavaScript引擎使用，攻击者已经利用该漏洞。前一个月，V8中的另一个类型混淆问题编号为CVE-2022-1096，也遭受主动攻击，并促使紧急修复。

2月，修复了今年第一个Chrome零日漏洞，这是Chrome动画组件中的一个释放后使用漏洞，编号为CVE-2022-0609，已经遭受攻击。后来透露，朝鲜黑客在该漏洞被发现和修复前几周就已经在利用它。