最新的谷歌Chrome瀏覽器修復了27個安全漏洞

沒有一個缺陷被列為被積極利用，但Chrome104的發(fā)行說明確實包含一些值得注意的，盡管描述很少，修復了影響Chrome“Omnibox”(地址欄)的嚴重缺陷，谷歌的可選在線保護安全瀏覽、Chrome中的DawnWebGPU實現，以及用于在Chromebook和Android設備之間共享文件的Google的類似AppleAirDrop的NearbyShare功能。

奧地利格拉茨理工大學的ErikKraft和MartinSchwarzl發(fā)現了一個影響Chrome鍵盤輸入的中等嚴重程度的邊信道信息泄漏問題。GrazTU的研究人員是2018年發(fā)現Meltdown和SpectreCPU側信道攻擊的核心。

谷歌向一位匿名研究人員支付了15,000美元，以解決與Omnibox內存相關的“免費后使用”問題，該問題被跟蹤為CVE-2022-2603。

Chrome中的安全瀏覽也受到免費后使用的高嚴重性問題(CVE-2022-2604)以及由于對不可信輸入的驗證不足而導致的中等嚴重性問題(CVE-2022-2622)的影響。

安全瀏覽被Chrome和其他主要瀏覽器用于在用戶訪問危險網站或下載惡意應用程序之前向用戶發(fā)出警告。

奇虎360的360Alpha實驗室的NanWang和GuangGong于6月10日報告了該高嚴重性問題。他們還報告了Chrome的受管設備API(CVE-2022-2606)中的高嚴重性問題以及一個中等嚴重性問題。在Chrome的WebUI中免費使用后的嚴重性(CVE-2022-2620)。

Chrome的“附近共享”功能中的缺陷也是免費缺陷后使用(CVE-2022-2609)。

關于錯誤的詳細信息很少，因為谷歌在其發(fā)行說明中限制訪問錯誤詳細信息，“直到大多數用戶更新了修復程序”。如果錯誤存在于其他項目依賴但尚未修復的第三方庫中，它也可能會限制訪問。

Chrome104中與安全相關的一項重要更改是刪除了U2FAPI，這是Chrome的原始安全密鑰API，已被較新的Web身份驗證(WebAuthn)API取代。WebAuthn于2019年成為W3C官方標準，屆時它已經在所有主要瀏覽器以及Windows和Android中實現。

WebAuthn支持U2FUSB雙因素身份驗證安全密鑰，因此不受此更改的影響，但網站需要遷移到WebAuthnAPI。對于網絡開發(fā)人員來說，這一變化應該不足為奇，因為谷歌在過去兩年中一直在警告這一變化。

“U2F從未成為一個開放的網絡標準，并被納入Web身份驗證API(在Chrome67中啟動)。Chrome從未直接支持FIDOU2FJavaScriptAPI，而是提供了一個名為cryptotoken的組件擴展......U2F和Cryptotoken堅定地支持維護模式，并鼓勵網站在過去兩年中遷移到Web身份驗證API，”谷歌在最近的一篇博文中解釋道。