Google 7月初修补Chrome的一项零时差攻击漏洞,事实上也影响Safari及微软Edge浏览器,苹果和微软也分别于上周及本月初发布更新版软件解决漏洞。
7月初Google发布Chrome 103版,最重要的是解决CVE-2022-2294这个已遭开采的漏洞。根据首先发现该漏洞攻击的安全厂商Avast指出,开采本项漏洞的可能是以色列一家名为Candiru的间谍软件开发商,后者提供工具给政府客户,以锁定黎巴嫰记者以及土耳其、也门和巴勒斯坦用户。以Chrome本月初的开采行动而言,受害者Windows计算机上即被植入DevilsTongue间谍软件以窃取资料。
遭到开采的CVE-2022-2294为位于WebRTC堆积缓冲区溢出漏洞,可让攻击者设计恶意网页内容,以待用户浏览器访问后,在用户设备上执行任意程序代码。
WebRTC是支持浏览器进行即时语音和图片通信的API,也提供影音引擎、压缩、视频codec等组件。2011年开源,目前获多种浏览器支持,包括Chrome、Edge、Firefox、Opera及Safari的PC机及手机版本。
CVE-2022-2294似乎仅影响Safari及Microsoft Edge。苹果于上周发布iOS、macOS、以及iPadOS、watchOS、tvOS等所有平台的更新版解决70多项漏洞,其中Safari 15.6版即是为了修补CVE-2022-2294。
微软则已在7月初稳定信道发布Microsoft Edge 103.0.1264.49版(目前最新版已来到103.0.1264.71)解决这项漏洞。