最新的谷歌Chrome瀏覽器修復(fù)了27個安全漏洞

沒有一個缺陷被列為被積極利用，但Chrome104的發(fā)行說明確實(shí)包含一些值得注意的，盡管描述很少，修復(fù)了影響Chrome“Omnibox”(地址欄)的嚴(yán)重缺陷，谷歌的可選在線保護(hù)安全瀏覽、Chrome中的DawnWebGPU實(shí)現(xiàn)，以及用于在Chromebook和Android設(shè)備之間共享文件的Google的類似AppleAirDrop的NearbyShare功能。

奧地利格拉茨理工大學(xué)的ErikKraft和MartinSchwarzl發(fā)現(xiàn)了一個影響Chrome鍵盤輸入的中等嚴(yán)重程度的邊信道信息泄漏問題。GrazTU的研究人員是2018年發(fā)現(xiàn)Meltdown和SpectreCPU側(cè)信道攻擊的核心。

谷歌向一位匿名研究人員支付了15,000美元，以解決與Omnibox內(nèi)存相關(guān)的“免費(fèi)后使用”問題，該問題被跟蹤為CVE-2022-2603。

Chrome中的安全瀏覽也受到免費(fèi)后使用的高嚴(yán)重性問題(CVE-2022-2604)以及由于對不可信輸入的驗(yàn)證不足而導(dǎo)致的中等嚴(yán)重性問題(CVE-2022-2622)的影響。

安全瀏覽被Chrome和其他主要瀏覽器用于在用戶訪問危險網(wǎng)站或下載惡意應(yīng)用程序之前向用戶發(fā)出警告。

奇虎360的360Alpha實(shí)驗(yàn)室的NanWang和GuangGong于6月10日報告了該高嚴(yán)重性問題。他們還報告了Chrome的受管設(shè)備API(CVE-2022-2606)中的高嚴(yán)重性問題以及一個中等嚴(yán)重性問題。在Chrome的WebUI中免費(fèi)使用后的嚴(yán)重性(CVE-2022-2620)。

Chrome的“附近共享”功能中的缺陷也是免費(fèi)缺陷后使用(CVE-2022-2609)。

關(guān)于錯誤的詳細(xì)信息很少，因?yàn)楣雀柙谄浒l(fā)行說明中限制訪問錯誤詳細(xì)信息，“直到大多數(shù)用戶更新了修復(fù)程序”。如果錯誤存在于其他項(xiàng)目依賴但尚未修復(fù)的第三方庫中，它也可能會限制訪問。

Chrome104中與安全相關(guān)的一項(xiàng)重要更改是刪除了U2FAPI，這是Chrome的原始安全密鑰API，已被較新的Web身份驗(yàn)證(WebAuthn)API取代。WebAuthn于2019年成為W3C官方標(biāo)準(zhǔn)，屆時它已經(jīng)在所有主要瀏覽器以及Windows和Android中實(shí)現(xiàn)。

WebAuthn支持U2FUSB雙因素身份驗(yàn)證安全密鑰，因此不受此更改的影響，但網(wǎng)站需要遷移到WebAuthnAPI。對于網(wǎng)絡(luò)開發(fā)人員來說，這一變化應(yīng)該不足為奇，因?yàn)楣雀柙谶^去兩年中一直在警告這一變化。

“U2F從未成為一個開放的網(wǎng)絡(luò)標(biāo)準(zhǔn)，并被納入Web身份驗(yàn)證API(在Chrome67中啟動)。Chrome從未直接支持FIDOU2FJavaScriptAPI，而是提供了一個名為cryptotoken的組件擴(kuò)展......U2F和Cryptotoken堅(jiān)定地支持維護(hù)模式，并鼓勵網(wǎng)站在過去兩年中遷移到Web身份驗(yàn)證API，”谷歌在最近的一篇博文中解釋道。