google 7月初修补chrome的一项零时差攻击漏洞,事实上也影响safari及微软edge浏览器,苹果和微软也分别于上周及本月初发布更新版软件解决漏洞。
7月初google发布chrome 103版,最重要的是解决cve-2022-2294这个已遭开采的漏洞。根据首先发现该漏洞攻击的安全厂商avast指出,开采本项漏洞的可能是以色列一家名为candiru的间谍软件开发商,后者提供工具给政府客户,以锁定黎巴嫰记者以及土耳其、也门和巴勒斯坦用户。以chrome本月初的开采行动而言,受害者windows计算机上即被植入devilstongue间谍软件以窃取资料。
遭到开采的cve-2022-2294为位于webrtc堆积缓冲区溢出漏洞,可让攻击者设计恶意网页内容,以待用户浏览器访问后,在用户设备上执行任意程序代码。
webrtc是支持浏览器进行即时语音和图片通信的api,也提供影音引擎、压缩、视频codec等组件。2011年开源,目前获多种浏览器支持,包括chrome、edge、firefox、opera及safari的pc机及手机版本。
cve-2022-2294似乎仅影响safari及microsoft edge。苹果于上周发布ios、macos、以及ipados、watchos、tvos等所有平台的更新版解决70多项漏洞,其中safari 15.6版即是为了修补cve-2022-2294。
微软则已在7月初稳定信道发布microsoft edge 103.0.1264.49版(目前最新版已来到103.0.1264.71)解决这项漏洞。