谷歌已经修补了今年在Chrome浏览器中发现的第五个被大量利用的0 day漏洞,这是在本周三稳定更新通道中发布的一系列修复措施之一。
根据谷歌发布的公告,该漏洞被追踪为CVE-2022-2856,在通用漏洞评分系统(CVSS)中评为高分,该漏洞是由于针对Intents中不受信任的输入验证不严谨造成的。
谷歌感谢其谷歌威胁分析小组(TAG)的Ashley Shen和Christian Resell在7月19日报告的这个0 day漏洞,它可能会允许任意代码执行。该公告还公布了其他的10个各种Chrome漏洞的补丁。
据为移动应用提供各种链接功能的Branch公司称,Intents是安卓设备上的Chrome浏览器中的一种深度链接功能,它取代了以前处理这一过程的URI方案。
该公司在其网站上解释道,在Chrome浏览器中,开发者不需要将window.location或iframe.src分配给URI方案,而是只是需要使用本文件中所定义的字符串。
根据MITRE的常见漏洞收集网站,不充分的验证漏洞与输入验证的实现有关,输入验证是一种经常使用的技术,用于检查那些潜在的危险的内容输入,确保它们在代码内的处理过程是安全的,或者在与其他组件通信时是安全的。
根据该网站上的一篇文章,当软件没有正确验证输入时,攻击者能够使用应用程序中的其他形式进行输入。这将会导致系统的某些部分收到非预期的输入,也可能会导致控制流的改变,实现对资源的任意控制,或任意代码的执行。
防范漏洞
典型的做法是,一直到它被大面积的修补之后,谷歌才开始披露该漏洞的具体细节,避免威胁者对它进一步进行利用,一位安全专家指出,这是一个明智的策略。
高级研究工程师Satnam Narang在给媒体的一封电子邮件中指出,在漏洞还可被大量利用时,直接公布一个0 day漏洞的细节可能会产生可怕的后果,因为这些系统进行安全更新可能需要时间,而攻击者却可以在此时大量的利用这些类型的漏洞。
鉴于其他的Linux发行版和浏览器,如微软的Edge,也使用了基于谷歌Chromium项目的代码,所以官方隐瞒信息也是合理的。他说,如果一个漏洞的利用方法被公布出去,这些应用程序都可能会受到影响。
Narang补充说,这对防御者来说,拥有这个时间缓冲区是非常重要的。
虽然在更新中的大部分修复都是针对被评为高风险或中等风险的漏洞,但这次谷歌确实修补了一个被追踪为CVE-2022-2852的关键漏洞,这是谷歌零度项目的Sergei Glazunov于8月8日报告的FedCM中存在的一个漏洞。据谷歌称,FedCM是联邦凭证管理API的简称。
迄今为止的第五个Chrome 0Day补丁
这个0 day补丁是迄今为止,谷歌今年修补的第五个容易受到主动攻击的Chrome漏洞。
7月,该公司还修复了WebRTC中的一个被主动利用的堆缓冲区溢出漏洞,该引擎使Chrome具有了实时通信能力,而在5月,另一个单独的缓冲区溢出缺陷被跟踪为CVE-2022-2294,该漏洞一直处于主动攻击中,之后被打上了补丁。
4月,谷歌修复了CVE-2022-1364,这是一个影响Chrome浏览器使用V8 JavaScript引擎的类型混淆漏洞,攻击者已经对其进行了攻击。上个月,V8中的一个类型混淆漏洞被追踪为CVE-2022-1096,并一直受到主动攻击,这也刺激了谷歌匆忙发布了补丁。
2月,Chrome浏览器今年的第一个0 day漏洞得到了修复,Chrome浏览器的动画组件中的一个免费使用漏洞被追踪为CVE-2022-0609,并且已经受到了广泛的攻击。后来发现,朝鲜黑客在发现和修补该漏洞的前几周就已经在利用该漏洞了。
本文翻译自:https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/如若转载,请注明原文地址。