技术速递：2022年Chrome浏览器的首个零日漏洞发布

作者：Lisa Vaas    译作：丁牛网安实验室 老衲

漏洞基本情况

近日，谷歌发布了新年第一个关于Chrome浏览器的零日漏洞的补丁，该漏洞是一个任意代码执行漏洞，会造成严重的数据破坏。

谷歌在本周一（2月14日）发布了Chrome浏览器的11个漏洞修复程序，其中包括一个高危零日漏洞，编号为CVE-2022-0609，正在被攻击者们广泛利用。该漏洞针对Chrome动画组件，采用Use-after-free应用模式，可以从浏览器的安全沙箱中逃逸。

为解决该漏洞和其他10个安全问题，谷歌发布了适用于Windows、Mac、Linux等多操作系统的Chrome 98.0.4758.102，预计将在未来几天或几周内更新。用户可以进入菜单 > 帮助 > 关于 Google Chrome 来进行升级。鉴于该漏洞的严重危害，强烈建议用户尽快升级。

图：Chrome安全更新（来源：谷歌）

该漏洞由Adam Weidemann 和 Clément Lecigne发现，他们都来自于谷歌威胁分析小组（Google’s Threat Analysis Group ，TAG）。

除该漏洞外，本次Chrome更新，还包括面向Webstore API, File Manager, ANGLE and GPU的4个整数溢出高危漏洞，1个Tab Groups的缓冲区溢出高危漏洞，1个Gamepad API的执行不当中危漏洞的修复补丁。

历史回顾与对比

本次漏洞发布，是2022年Chrome的第一个零日漏洞，未来肯定还有很多，但至少2022年的首个漏洞，来的已经比2021年晚了10多天。2021年度，Chrome共发布了16个零日漏洞。

· CVE-2021-21148 – 2月4日发布，是面向V8 开源 Web引擎的一个漏洞。

· CVE-2021-21166 – 3月2日发布，是Chrome音频组件中的一个漏洞。

· CVE-2021-21193 – 3月12日发布，是一个use-after-free漏洞，处在Chrome引擎中的Chromium中。

· CVE-2021-21220 – 4月13日发布，是一个远程代码执行漏洞。

· CVE-2021-21224 – 4月20日发布，面向Chrome V8的类型混淆漏洞，允许远程攻击者通过设计HTML页面，实现在沙箱中远程执行任意代码。

· CVE-2021-30551 – 6月9日发布，面向Google V8的类型混淆漏洞，主要针对开源 JavaScript 和 WebAssembly 引擎。

· CVE-2021-30554 – 6月17日发布，是一个use-after-free漏洞。

· CVE-2021-30563 – 7月15日发布，是一个面向V8的类型混淆漏洞。

· CVE-2021-30632 和 CVE-2021-30633 – 9月13日发布，分别是 V8 中的越界写入和 IndexedDB API 中的 use-after-free漏洞。

· CVE-2021-37973 – 9 月 24 日，针对门户网站的一个use-after-free漏洞。

· CVE-2021-37976 和 CVE-2021-37975 – 9月30日发布，分别是 V8 中的核心信息泄漏和use-after-free漏洞。

· CVE-2021-38000 和 CVE-2021-38003 – 10月28日发布，分别是面向安卓版Chrome浏览器的因输入验证不足导致的不可信漏洞，V8中的实施不当漏洞。

· CVE-2021-4102 – 12月13日发布，V8中的use-after-free漏洞。