最新的谷歌Chrome瀏覽器修復(fù)了27個(gè)安全漏洞

沒(méi)有一個(gè)缺陷被列為被積極利用，但Chrome104的發(fā)行說(shuō)明確實(shí)包含一些值得注意的，盡管描述很少，修復(fù)了影響Chrome“Omnibox”(地址欄)的嚴(yán)重缺陷，谷歌的可選在線保護(hù)安全瀏覽、Chrome中的DawnWebGPU實(shí)現(xiàn)，以及用于在Chromebook和Android設(shè)備之間共享文件的Google的類(lèi)似AppleAirDrop的NearbyShare功能。

奧地利格拉茨理工大學(xué)的ErikKraft和MartinSchwarzl發(fā)現(xiàn)了一個(gè)影響Chrome鍵盤(pán)輸入的中等嚴(yán)重程度的邊信道信息泄漏問(wèn)題。GrazTU的研究人員是2018年發(fā)現(xiàn)Meltdown和SpectreCPU側(cè)信道攻擊的核心。

谷歌向一位匿名研究人員支付了15,000美元，以解決與Omnibox內(nèi)存相關(guān)的“免費(fèi)后使用”問(wèn)題，該問(wèn)題被跟蹤為CVE-2022-2603。

Chrome中的安全瀏覽也受到免費(fèi)后使用的高嚴(yán)重性問(wèn)題(CVE-2022-2604)以及由于對(duì)不可信輸入的驗(yàn)證不足而導(dǎo)致的中等嚴(yán)重性問(wèn)題(CVE-2022-2622)的影響。

安全瀏覽被Chrome和其他主要瀏覽器用于在用戶訪問(wèn)危險(xiǎn)網(wǎng)站或下載惡意應(yīng)用程序之前向用戶發(fā)出警告。

奇虎360的360Alpha實(shí)驗(yàn)室的NanWang和GuangGong于6月10日?qǐng)?bào)告了該高嚴(yán)重性問(wèn)題。他們還報(bào)告了Chrome的受管設(shè)備API(CVE-2022-2606)中的高嚴(yán)重性問(wèn)題以及一個(gè)中等嚴(yán)重性問(wèn)題。在Chrome的WebUI中免費(fèi)使用后的嚴(yán)重性(CVE-2022-2620)。

Chrome的“附近共享”功能中的缺陷也是免費(fèi)缺陷后使用(CVE-2022-2609)。

關(guān)于錯(cuò)誤的詳細(xì)信息很少，因?yàn)楣雀柙谄浒l(fā)行說(shuō)明中限制訪問(wèn)錯(cuò)誤詳細(xì)信息，“直到大多數(shù)用戶更新了修復(fù)程序”。如果錯(cuò)誤存在于其他項(xiàng)目依賴但尚未修復(fù)的第三方庫(kù)中，它也可能會(huì)限制訪問(wèn)。

Chrome104中與安全相關(guān)的一項(xiàng)重要更改是刪除了U2FAPI，這是Chrome的原始安全密鑰API，已被較新的Web身份驗(yàn)證(WebAuthn)API取代。WebAuthn于2019年成為W3C官方標(biāo)準(zhǔn)，屆時(shí)它已經(jīng)在所有主要瀏覽器以及Windows和Android中實(shí)現(xiàn)。

WebAuthn支持U2FUSB雙因素身份驗(yàn)證安全密鑰，因此不受此更改的影響，但網(wǎng)站需要遷移到WebAuthnAPI。對(duì)于網(wǎng)絡(luò)開(kāi)發(fā)人員來(lái)說(shuō)，這一變化應(yīng)該不足為奇，因?yàn)楣雀柙谶^(guò)去兩年中一直在警告這一變化。

“U2F從未成為一個(gè)開(kāi)放的網(wǎng)絡(luò)標(biāo)準(zhǔn)，并被納入Web身份驗(yàn)證API(在Chrome67中啟動(dòng))。Chrome從未直接支持FIDOU2FJavaScriptAPI，而是提供了一個(gè)名為cryptotoken的組件擴(kuò)展......U2F和Cryptotoken堅(jiān)定地支持維護(hù)模式，并鼓勵(lì)網(wǎng)站在過(guò)去兩年中遷移到Web身份驗(yàn)證API，”谷歌在最近的一篇博文中解釋道。