谷歌已經(jīng)修補(bǔ)了今年在Chrome瀏覽器中發(fā)現(xiàn)的第五個(gè)被大量利用的0 day漏洞，這是在本周三穩(wěn)定更新通道中發(fā)布的一系列修復(fù)措施之一。

根據(jù)谷歌發(fā)布的公告，該漏洞被追蹤為CVE-2022-2856，在通用漏洞評(píng)分系統(tǒng)（CVSS）中評(píng)為高分，該漏洞是由于針對(duì)Intents中不受信任的輸入驗(yàn)證不嚴(yán)謹(jǐn)造成的。

谷歌感謝其谷歌威脅分析小組（TAG）的Ashley Shen和Christian Resell在7月19日?qǐng)?bào)告的這個(gè)0 day漏洞，它可能會(huì)允許任意代碼執(zhí)行。該公告還公布了其他的10個(gè)各種Chrome漏洞的補(bǔ)丁。

據(jù)為移動(dòng)應(yīng)用提供各種鏈接功能的Branch公司稱(chēng)，Intents是安卓設(shè)備上的Chrome瀏覽器中的一種深度鏈接功能，它取代了以前處理這一過(guò)程的URI方案。

該公司在其網(wǎng)站上解釋道，在Chrome瀏覽器中，開(kāi)發(fā)者不需要將window.location或iframe.src分配給URI方案，而是只是需要使用本文件中所定義的字符串。

根據(jù)MITRE的常見(jiàn)漏洞收集網(wǎng)站，不充分的驗(yàn)證漏洞與輸入驗(yàn)證的實(shí)現(xiàn)有關(guān)，輸入驗(yàn)證是一種經(jīng)常使用的技術(shù)，用于檢查那些潛在的危險(xiǎn)的內(nèi)容輸入，確保它們?cè)诖a內(nèi)的處理過(guò)程是安全的，或者在與其他組件通信時(shí)是安全的。

根據(jù)該網(wǎng)站上的一篇文章，當(dāng)軟件沒(méi)有正確驗(yàn)證輸入時(shí)，攻擊者能夠使用應(yīng)用程序中的其他形式進(jìn)行輸入。這將會(huì)導(dǎo)致系統(tǒng)的某些部分收到非預(yù)期的輸入，也可能會(huì)導(dǎo)致控制流的改變，實(shí)現(xiàn)對(duì)資源的任意控制，或任意代碼的執(zhí)行。

防范漏洞

典型的做法是，一直到它被大面積的修補(bǔ)之后，谷歌才開(kāi)始披露該漏洞的具體細(xì)節(jié)，避免威脅者對(duì)它進(jìn)一步進(jìn)行利用，一位安全專(zhuān)家指出，這是一個(gè)明智的策略。

高級(jí)研究工程師Satnam Narang在給媒體的一封電子郵件中指出，在漏洞還可被大量利用時(shí)，直接公布一個(gè)0 day漏洞的細(xì)節(jié)可能會(huì)產(chǎn)生可怕的后果，因?yàn)檫@些系統(tǒng)進(jìn)行安全更新可能需要時(shí)間，而攻擊者卻可以在此時(shí)大量的利用這些類(lèi)型的漏洞。

鑒于其他的Linux發(fā)行版和瀏覽器，如微軟的Edge，也使用了基于谷歌Chromium項(xiàng)目的代碼，所以官方隱瞞信息也是合理的。他說(shuō)，如果一個(gè)漏洞的利用方法被公布出去，這些應(yīng)用程序都可能會(huì)受到影響。

Narang補(bǔ)充說(shuō)，這對(duì)防御者來(lái)說(shuō)，擁有這個(gè)時(shí)間緩沖區(qū)是非常重要的。

雖然在更新中的大部分修復(fù)都是針對(duì)被評(píng)為高風(fēng)險(xiǎn)或中等風(fēng)險(xiǎn)的漏洞，但這次谷歌確實(shí)修補(bǔ)了一個(gè)被追蹤為CVE-2022-2852的關(guān)鍵漏洞，這是谷歌零度項(xiàng)目的Sergei Glazunov于8月8日?qǐng)?bào)告的FedCM中存在的一個(gè)漏洞。據(jù)谷歌稱(chēng)，F(xiàn)edCM是聯(lián)邦憑證管理API的簡(jiǎn)稱(chēng)。

迄今為止的第五個(gè)Chrome 0Day補(bǔ)丁

這個(gè)0 day補(bǔ)丁是迄今為止，谷歌今年修補(bǔ)的第五個(gè)容易受到主動(dòng)攻擊的Chrome漏洞。

7月，該公司還修復(fù)了WebRTC中的一個(gè)被主動(dòng)利用的堆緩沖區(qū)溢出漏洞，該引擎使Chrome具有了實(shí)時(shí)通信能力，而在5月，另一個(gè)單獨(dú)的緩沖區(qū)溢出缺陷被跟蹤為CVE-2022-2294，該漏洞一直處于主動(dòng)攻擊中，之后被打上了補(bǔ)丁。

4月，谷歌修復(fù)了CVE-2022-1364，這是一個(gè)影響Chrome瀏覽器使用V8 JavaScript引擎的類(lèi)型混淆漏洞，攻擊者已經(jīng)對(duì)其進(jìn)行了攻擊。上個(gè)月，V8中的一個(gè)類(lèi)型混淆漏洞被追蹤為CVE-2022-1096，并一直受到主動(dòng)攻擊，這也刺激了谷歌匆忙發(fā)布了補(bǔ)丁。

2月，Chrome瀏覽器今年的第一個(gè)0 day漏洞得到了修復(fù)，Chrome瀏覽器的動(dòng)畫(huà)組件中的一個(gè)免費(fèi)使用漏洞被追蹤為CVE-2022-0609，并且已經(jīng)受到了廣泛的攻擊。后來(lái)發(fā)現(xiàn)，朝鮮黑客在發(fā)現(xiàn)和修補(bǔ)該漏洞的前幾周就已經(jīng)在利用該漏洞了。

本文翻譯自：https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/如若轉(zhuǎn)載，請(qǐng)注明原文地址。