2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號(hào):
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請(qǐng)將#換成@)
沒有一個(gè)缺陷被列為被積極利用,但Chrome104的發(fā)行說明確實(shí)包含一些值得注意的,盡管描述很少,修復(fù)了影響Chrome“Omnibox”(地址欄)的嚴(yán)重缺陷,谷歌的可選在線保護(hù)安全瀏覽、Chrome中的DawnWebGPU實(shí)現(xiàn),以及用于在Chromebook和Android設(shè)備之間共享文件的Google的類似AppleAirDrop的NearbyShare功能。
奧地利格拉茨理工大學(xué)的ErikKraft和MartinSchwarzl發(fā)現(xiàn)了一個(gè)影響Chrome鍵盤輸入的中等嚴(yán)重程度的邊信道信息泄漏問題。GrazTU的研究人員是2018年發(fā)現(xiàn)Meltdown和SpectreCPU側(cè)信道攻擊的核心。
谷歌向一位匿名研究人員支付了15,000美元,以解決與Omnibox內(nèi)存相關(guān)的“免費(fèi)后使用”問題,該問題被跟蹤為CVE-2022-2603。
Chrome中的安全瀏覽也受到免費(fèi)后使用的高嚴(yán)重性問題(CVE-2022-2604)以及由于對(duì)不可信輸入的驗(yàn)證不足而導(dǎo)致的中等嚴(yán)重性問題(CVE-2022-2622)的影響。
安全瀏覽被Chrome和其他主要瀏覽器用于在用戶訪問危險(xiǎn)網(wǎng)站或下載惡意應(yīng)用程序之前向用戶發(fā)出警告。
奇虎360的360Alpha實(shí)驗(yàn)室的NanWang和GuangGong于6月10日?qǐng)?bào)告了該高嚴(yán)重性問題。他們還報(bào)告了Chrome的受管設(shè)備API(CVE-2022-2606)中的高嚴(yán)重性問題以及一個(gè)中等嚴(yán)重性問題。在Chrome的WebUI中免費(fèi)使用后的嚴(yán)重性(CVE-2022-2620)。
Chrome的“附近共享”功能中的缺陷也是免費(fèi)缺陷后使用(CVE-2022-2609)。
關(guān)于錯(cuò)誤的詳細(xì)信息很少,因?yàn)楣雀柙谄浒l(fā)行說明中限制訪問錯(cuò)誤詳細(xì)信息,“直到大多數(shù)用戶更新了修復(fù)程序”。如果錯(cuò)誤存在于其他項(xiàng)目依賴但尚未修復(fù)的第三方庫(kù)中,它也可能會(huì)限制訪問。
Chrome104中與安全相關(guān)的一項(xiàng)重要更改是刪除了U2FAPI,這是Chrome的原始安全密鑰API,已被較新的Web身份驗(yàn)證(WebAuthn)API取代。WebAuthn于2019年成為W3C官方標(biāo)準(zhǔn),屆時(shí)它已經(jīng)在所有主要瀏覽器以及Windows和Android中實(shí)現(xiàn)。
WebAuthn支持U2FUSB雙因素身份驗(yàn)證安全密鑰,因此不受此更改的影響,但網(wǎng)站需要遷移到WebAuthnAPI。對(duì)于網(wǎng)絡(luò)開發(fā)人員來說,這一變化應(yīng)該不足為奇,因?yàn)楣雀柙谶^去兩年中一直在警告這一變化。
“U2F從未成為一個(gè)開放的網(wǎng)絡(luò)標(biāo)準(zhǔn),并被納入Web身份驗(yàn)證API(在Chrome67中啟動(dòng))。Chrome從未直接支持FIDOU2FJavaScriptAPI,而是提供了一個(gè)名為cryptotoken的組件擴(kuò)展......U2F和Cryptotoken堅(jiān)定地支持維護(hù)模式,并鼓勵(lì)網(wǎng)站在過去兩年中遷移到Web身份驗(yàn)證API,”谷歌在最近的一篇博文中解釋道。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號(hào):
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請(qǐng)將#換成@)