谷歌已經(jīng)修補了今年在Chrome瀏覽器中發(fā)現(xiàn)的第五個被大量利用的0 day漏洞，這是在本周三穩(wěn)定更新通道中發(fā)布的一系列修復措施之一。

根據(jù)谷歌發(fā)布的公告，該漏洞被追蹤為CVE-2022-2856，在通用漏洞評分系統(tǒng)（CVSS）中評為高分，該漏洞是由于針對Intents中不受信任的輸入驗證不嚴謹造成的。

谷歌感謝其谷歌威脅分析小組（TAG）的Ashley Shen和Christian Resell在7月19日報告的這個0 day漏洞，它可能會允許任意代碼執(zhí)行。該公告還公布了其他的10個各種Chrome漏洞的補丁。

據(jù)為移動應用提供各種鏈接功能的Branch公司稱，Intents是安卓設備上的Chrome瀏覽器中的一種深度鏈接功能，它取代了以前處理這一過程的URI方案。

該公司在其網(wǎng)站上解釋道，在Chrome瀏覽器中，開發(fā)者不需要將window.location或iframe.src分配給URI方案，而是只是需要使用本文件中所定義的字符串。

根據(jù)MITRE的常見漏洞收集網(wǎng)站，不充分的驗證漏洞與輸入驗證的實現(xiàn)有關，輸入驗證是一種經(jīng)常使用的技術，用于檢查那些潛在的危險的內(nèi)容輸入，確保它們在代碼內(nèi)的處理過程是安全的，或者在與其他組件通信時是安全的。

根據(jù)該網(wǎng)站上的一篇文章，當軟件沒有正確驗證輸入時，攻擊者能夠使用應用程序中的其他形式進行輸入。這將會導致系統(tǒng)的某些部分收到非預期的輸入，也可能會導致控制流的改變，實現(xiàn)對資源的任意控制，或任意代碼的執(zhí)行。

防范漏洞

典型的做法是，一直到它被大面積的修補之后，谷歌才開始披露該漏洞的具體細節(jié)，避免威脅者對它進一步進行利用，一位安全專家指出，這是一個明智的策略。

高級研究工程師Satnam Narang在給媒體的一封電子郵件中指出，在漏洞還可被大量利用時，直接公布一個0 day漏洞的細節(jié)可能會產(chǎn)生可怕的后果，因為這些系統(tǒng)進行安全更新可能需要時間，而攻擊者卻可以在此時大量的利用這些類型的漏洞。

鑒于其他的Linux發(fā)行版和瀏覽器，如微軟的Edge，也使用了基于谷歌Chromium項目的代碼，所以官方隱瞞信息也是合理的。他說，如果一個漏洞的利用方法被公布出去，這些應用程序都可能會受到影響。

Narang補充說，這對防御者來說，擁有這個時間緩沖區(qū)是非常重要的。

雖然在更新中的大部分修復都是針對被評為高風險或中等風險的漏洞，但這次谷歌確實修補了一個被追蹤為CVE-2022-2852的關鍵漏洞，這是谷歌零度項目的Sergei Glazunov于8月8日報告的FedCM中存在的一個漏洞。據(jù)谷歌稱，F(xiàn)edCM是聯(lián)邦憑證管理API的簡稱。

迄今為止的第五個Chrome 0Day補丁

這個0 day補丁是迄今為止，谷歌今年修補的第五個容易受到主動攻擊的Chrome漏洞。

7月，該公司還修復了WebRTC中的一個被主動利用的堆緩沖區(qū)溢出漏洞，該引擎使Chrome具有了實時通信能力，而在5月，另一個單獨的緩沖區(qū)溢出缺陷被跟蹤為CVE-2022-2294，該漏洞一直處于主動攻擊中，之后被打上了補丁。

4月，谷歌修復了CVE-2022-1364，這是一個影響Chrome瀏覽器使用V8 JavaScript引擎的類型混淆漏洞，攻擊者已經(jīng)對其進行了攻擊。上個月，V8中的一個類型混淆漏洞被追蹤為CVE-2022-1096，并一直受到主動攻擊，這也刺激了谷歌匆忙發(fā)布了補丁。

2月，Chrome瀏覽器今年的第一個0 day漏洞得到了修復，Chrome瀏覽器的動畫組件中的一個免費使用漏洞被追蹤為CVE-2022-0609，并且已經(jīng)受到了廣泛的攻擊。后來發(fā)現(xiàn)，朝鮮黑客在發(fā)現(xiàn)和修補該漏洞的前幾周就已經(jīng)在利用該漏洞了。

本文翻譯自：https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/如若轉(zhuǎn)載，請注明原文地址。