Chrome 漏洞已公开利用,WebKit 漏洞与内核升级一起被积极滥用
谷歌已经为桌面 Chrome 发布了 11 个安全修复程序,其中包括一个可以利用它的漏洞。
这个高度严重的漏洞,被跟踪为 CVE-2022-2856,是一个不正确的输入验证错误,并且像往常一样,在大部分 Chrome 用户更新并修复代码之前,谷歌不会发布有关它的许多细节。
在一份公告中,这家互联网巨头将该漏洞描述为“对 Intents 中不受信任的输入的验证不足”,并指出它“知道 CVE-2022-2856 的漏洞在野外存在。”
Chrome Intent 可用于从网页启动应用程序并将数据传递给这些应用程序。
Sophos 安全研究人员指出,谷歌没有提供任何关于如何操纵此功能来破坏用户设备的详细信息。Sophos 的 Paul Ducklin补充说:“如果已知漏洞涉及悄悄地向本地应用程序提供通常会因安全原因被阻止的风险数据,那么危险似乎相当明显。 ”
威胁分析小组的成员 Google 员工 Ashley Shen 和 Christian Resell 于 7 月 19 日报告了该漏洞。
虽然谷歌不知道对今天列表中剩余漏洞的任何利用,但其中一个获得了严重严重性评级,并认为其他五个严重性很高。
互联网安全中心将这些 Chrome 漏洞的风险列为大中型政府机构和企业的“高”风险,以及小型政府和公司的“中等”风险,并警告说,最严重的漏洞将允许攻击者执行恶意代码“在登录用户的上下文中”。
“根据与用户相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户,”CIS 在安全公告中解释道。“其帐户被配置为在系统上拥有较少用户权限的用户可能比拥有管理用户权限的用户受到的影响更小。”
除了被主动利用的漏洞外,谷歌还详细介绍了其更新中的 11 个漏洞中的 9 个(Mac 和 Linux 为 104.0.5112.101,Windows 为 104.0.5112.102/101)。这些是:
- CVE-2022-2852(严重):在 FedCM 中释放后使用
- CVE-2022-2854(高):在 SwiftShader 中释放后使用
- CVE-2022-2855(高):在 ANGLE 中释放后使用
- CVE-2022-2857(高):在 Blink 中释放后使用
- CVE-2022-2858(高):在登录流程中免费使用。
- CVE-2022-2853(高):下载中的堆缓冲区溢出
- CVE-2022-2859(中):在 Chrome OS Shell 中免费使用
- CVE-2022-2860(中):Cookie 中的策略执行不足
- CVE-2022-2861(中):扩展 API 中的实施不当
Chrome 漏洞奖励计划向发现并报告这些漏洞的漏洞猎手支付了至少 29,000 美元。
这包括支付给 Amber 安全实验室的 Cassidy Kim 的两笔 7,000 美元的 CVE-2022-2854 和 CVE-2022-2855 赏金;向 CVE-2022-2857 的匿名人士提供 5,000 美元的奖励;又为 CVE-2022-2858 在 KunLun 实验室掠夺 5,000 美元;针对 CVE-2022-2859 向 360 Alpha Lab 的 Nan Wang 和 Guan Gong 支付 3,000 美元;并为 CVE-2022-2860 向 Axel Chong 支付 2,000 美元。
去年,谷歌总共向其各种 VPR 的近 700 名研究人员支付了 870 万美
