三个稳定更新通道中发布的一系列修复程序之一。根据谷歌发布的公告,该漏洞被追踪为CVE-2022-2856,并在通用漏洞评分系统(CVSS)中获得高分。该漏洞是由于对Intents中不受信任的输入的验证不严造成的。谷歌感谢其谷歌威胁分析小组(TAG)的AshleyShen和ChristianResell在7月19日报告了零日漏洞,该漏洞可能允许任意代码执行。该公告还宣布了针对各种Chrome漏洞的其他10个修复程序。根据Branch的说法,Intents是Android设备上Chrome浏览器中的一个深度链接功能,它取代了之前处理该过程的URI方案,它为移动应用程序提供了各种链接功能。该公司在其网站上解释说,在Chrome中,开发人员无需将window.location或iframe.src分配给URI方案,而只需使用此文件中定义的字符串即可。根据MITRE的常见漏洞收集网站,验证不足漏洞与输入验证的实现有关,这是一种经常使用的技术,用于检查那些具有潜在危险的内容输入,以确保它们在代码中的处理是安全的,或者在与其他组件通信时是安全的.根据网站上的一篇文章,当软件没有正确验证输入时,攻击者可以使用应用程序中的其他形式进行输入。这会导致系统的某些部分接收到非预期的输入,也可能导致控制流发生变化,实现对资源的任意控制,或者任意代码执行。一位安全专家表示,通常情况下,谷歌不会披露漏洞的具体细节,直到漏洞被大量修补以防止威胁行为者进一步利用,这是一种明智的策略。在给CNBC的一封电子邮件中,高级研究工程师SatnamNarang指出,在漏洞仍然可以被大量利用的情况下直接发布零日漏洞的详细信息可能会产生可怕的后果,因为这些系统可能需要时间来接受安全保护更新,此时攻击者可以大量利用这些类型的漏洞。鉴于其他Linux发行版和浏览器,如Microsoft的Edge,也使用基于谷歌Chromium项目的代码,官方隐瞒信息是合理的。他说,如果漏洞的利用被发布,这些应用程序都可能受到影响。Narang补充说,对于防守者来说,有时间缓冲是非常重要的。虽然更新中的大部分修复都是针对高风险或中等风险的漏洞,但这次谷歌确实修复了一个被跟踪为CVE-2022-2852的严重漏洞,该漏洞由谷歌零项目的谢尔盖·格拉祖诺夫(SergeiGlazunov)报告。8月8日报告了FedCM中的一个漏洞。据谷歌称,FedCM是FederalCredentialsManagementAPI的缩写。迄今为止的第五个Chrome0-day补丁这个0-day补丁是谷歌今年迄今为止修补的第五个易受主动攻击的Chrome漏洞。7月,该公司还修复了WebRTC中一个被积极利用的堆缓冲区溢出漏洞,WebRTC是在Chrome中启用实时通信的引擎,而在5月份,一个单独的缓冲区溢出漏洞被跟踪为CVE——从2022年到2294年,该漏洞一直在受到积极的攻击,从那时起就被修补了。4月,谷歌修复了CVE-2022-1364,这是一个影响Chrome使用V8JavaScript引擎的类型混淆漏洞,攻击者已利用该漏洞。上个月,V8中一个被追踪为CVE-2022-1096的类型混淆漏洞被积极利用,促使谷歌匆忙推出补丁。2月,Chrome修复了年度首个零日漏洞,这是Chrome动画组件中的一个免费漏洞,编号为CVE-2022-0609,已被广泛利用。后来发现,朝鲜黑客在漏洞被发现和修补前几周就一直在利用该漏洞。本文翻译自:https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/如有转载请注明出处。
