内存安全周报第119期 | Chrome 108版本修补了高危内存安全漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、Chrome 108版本修补了高危内存安全漏洞(11.30)
谷歌宣布本周会在稳定通道发布Chrome 108版本,修补28个漏洞,其中有22个是外部研究人员报告的。
详细情况
外部报告的安全漏洞中,高危漏洞有8个,中危漏洞有14个。
从已支付的漏洞赏金金额来看,这些漏洞中最严重的是CVE-2022-4174,是网页浏览器的V8 JavaScript引擎中的类型混淆漏洞。
谷歌致谢了报告该漏洞的安全研究员Zhenghang Xiao,并表示向他支付了15,000美元的奖金。:
其他所有的高危漏洞都是内存安全漏洞,其中包括一个越界写入和六个释放后使用漏洞。
一年多来,谷歌一直致力于增强Chrome的内存安全性,包括从C++切换到Rust编译器。Rust被认为是一种内存安全的编程语言。
越界写入漏洞是在Lacros Graphics中发现的,而释放后使用漏洞会影响Camera Capture,Extensions Mojo,Audio和Forms等Chrome组件。
14个中危漏洞包括策略实施不足问题、对不受信任的输入缺陷验证不足问题、不恰当实现错误以及释放后使用缺陷。
谷歌表示,它已经向报告这些漏洞的研究人员发放的漏洞赏金金额超7万美元,但最终金额可能会更高,因为还有些漏洞的赏金还未确定。
对于谷歌Project Zero和微软研究人员已经报告的几个漏洞,不会支付任何赏金。
谷歌没有提到这些漏洞在攻击中被利用。
正在推出的Mac和Linux的108.0.5359.71版本和Windows的108.0.5359.71/72版本,是最新的Chrome版本。
谷歌为解决网络浏览器中的0day漏洞,发布了紧急更新,几天后,又发布了Chrome 108版本,这是2022年公开披露的第八个更新版本。
参考链接
https://www.securityweek.com/chrome-108-patches-high-severity-memory-safety-bugs?&web_view=true
二、在Scene上出现的新漏洞利用中间人为Signal应用程序的0day漏洞支付溢价(12.01)
最近,总部位于俄罗斯的OpZero以150万美元购买Signal的远程代码执行(RCE)漏洞,创下了报价记录。
网络安全专家表示,这场特殊的竞标战表明,俄罗斯政府迫切希望能够监视乌克兰人利用Signal进行的通信活动。
详细情况
Signal应用的0day漏洞引发了150万美元的竞标,因为灰色市场漏洞利用的中间人在当下地缘政治背景下蓬勃发展。
网络安全漏洞利用中间人的阴暗“灰帽”世界
这些中间人有时是独立的经销商,有时是国家情报机构的隐蔽阵线,中间人从有兴趣从漏洞利用中获利的安全研究人员那里购买这些漏洞。
研究人员说,市场在“不问我问题,我不会告诉你谎言”的基础上运作。中间人与白帽和黑帽安全专家合作时毫无顾忌,漏洞开发人员也不会询问他们的漏洞的利用方式和利用者。这些让这个市场处于一个沼泽中间地带,介于以供应商为导向、高度结构化的漏洞漏洞赏金市场和黑帽主导的混乱与公开的暗网犯罪交易之间。
今年早些时候在俄克拉荷马州塔尔萨举行了第21届信息安全经济学研讨会(WEIS'22),会议上发表了一篇关于灰色市场漏洞利用世界的论文,论文中写道:“漏洞利用中间人通过与供应商(安全研究人员)签订合同来管理漏洞利用清单,并出售给买家(部署攻击网络操作的参与者)”。
“这样做,相对于供应商和买家直接相互签约,中间人可以更有效地管理交易成本。此外,中间人避免声誉受影响和违法”。该报告补充说,过去六年里,灰色市场的漏洞利用价格增长了1,240%。
乌克兰战争引发Signal漏洞竞标赛
根据该公司的FAQ可知,这个市场上最公开和最多产的参与者之一是Zerodium,一家美国公司,其客户名单模糊不清,“主要来自欧洲和北美的政府机构”。
该公司对iOS漏洞的报价高达200万美元,还对一系列操作系统和应用程序中的漏洞进行了公开报价。自2017年以来,该公司对Signal和Facebook Messenger,WhatsApp和Telegram等其他社交信息app的报价都“高达”50万美元。
OpZero提出了三倍于该金额的报价,安全研究员The Grugq等专家认为该公司是俄罗斯情报部门伪装出来的,他们十分想要利用Android和Signal漏洞。
The Grugq最近写道,“Android在乌克兰拥有近80%的市场份额,Signal的日活用户超过200万。安装了Signal的Android手机十分安全,虽然不是军事装备,但完全有能力应对各种安全威胁。包括来自国家层面的威胁。
参考链接
https://www.darkreading.com/rasp/new-exploit-broker-pays-premium-signal-app-zero-days?&web_view=true
