谷歌紧急修复Chrome年度第五个零日漏洞

谷歌于8月17日在稳定通道更新中修复了今年Chrome浏览器中第五个被主动利用的零日漏洞，该漏洞编号为CVE-2022-2856，在通用漏洞评分系统（CVSS）中被评为高危等级。根据谷歌安全公告，此漏洞与“Intents中未信任输入验证不足”有关，可能允许攻击者执行任意代码。

漏洞详情与影响

该漏洞是谷歌本周发布的11个安全补丁之一，由谷歌威胁分析小组（TAG）的Ashley Shen和Christian Resell于7月19日报告。Intents是Chrome浏览器中Android设备上的深度链接功能，用于替代此前处理此过程的URI方案。根据移动应用链接服务提供商Branch的解释，Intents“增加了复杂性”，但能“自动处理移动应用未安装的情况”。

输入验证是一种常用技术，用于检查潜在危险输入，确保其在代码处理或与其他组件通信时的安全性。MITRE的常见弱点枚举（CWE）站点指出：“当软件未正确验证输入时，攻击者能够以应用程序其余部分未预期的方式构造输入，这可能导致系统部分接收到意外输入，进而引发控制流改变、资源任意控制或任意代码执行。”

修复策略与行业影响

谷歌通常不会在漏洞被广泛修复前披露具体细节，以避免威胁行为者进一步利用。网络安全公司Tenable的高级研究工程师Satnam Narang表示：“在补丁可用时立即公开被主动利用的零日漏洞细节可能带来严重后果，因为向易受攻击系统推出安全更新需要时间，而攻击者正急于利用这类漏洞。”

保留漏洞信息也是明智之举，因为其他Linux发行版和浏览器（如Microsoft Edge）也包含基于谷歌Chromium项目的代码，如果漏洞利用被公开，这些都可能受到影响。Narang补充道：“对防御者来说，拥有这个缓冲期极其宝贵。”

年度零日漏洞修复历程

这是谷歌今年修复的第五个被主动利用的Chrome零日漏洞。7月，公司修复了WebRTC中被主动利用的堆缓冲区溢出漏洞（CVE-2022-2294）；5月修复了另一个被主动利用的缓冲区溢出漏洞（CVE-2022-2294）；4月修复了影响Chrome V8 JavaScript引擎使用的类型混淆漏洞（CVE-2022-1364）；3月修复了V8中另一个被主动利用的类型混淆问题（CVE-2022-1096）；2月修复了今年首个Chrome零日漏洞，即Chrome动画组件中的释放后使用漏洞（CVE-2022-0609），后揭露朝鲜黑客在该漏洞被发现和修复前数周就已利用。

此次更新中还修复了一个关键漏洞CVE-2022-2852，这是8月8日由谷歌Project Zero的Sergei Glazunov报告的FedCM中的释放后使用问题。FedCM（联合凭证管理API）为Web上的联合身份流提供了用例特定抽象。

谷歌通过及时修复这些漏洞，持续强化Chrome浏览器的安全性，保护用户免受潜在攻击。