大工网安告[2022]033号

一、情况分析

近日，Google Chrome官方发布安全通告，修复了Chrome中的多个安全漏洞，其中Google Chrome代码执行漏洞（CVE-2022-2856）被报告存在在野利用。

1.1漏洞描述

Google Chrome本次安全更新共修复多个漏洞：

CVE-2022-2852：FedCM中的Use-After-Free（严重）

CVE-2022-2854：SwiftShader中的Use-After-Free（高危）

CVE-2022-2855：ANGLE中的Use-After-Free（高危）

CVE-2022-2857：Blink中的Use-After-Free（高危）

CVE-2022-2858：Sign-In Flow中的Use-After-Free（高危）

CVE-2022-2853：Downloads中的堆缓冲区溢出（高危）

CVE-2022-2856：Intents中不受信任的输入验证不足（高危）

CVE-2022-2859：Chrome OS Shell中的Use-After-Free（中危）

CVE-2022-2860：Cookie中的策略执行不足（中危）

CVE-2022-2861：扩展API中的实施不当（中危）

1.2重点漏洞描述

CVE-2022-2856：Intents中不受信任的输入验证不足

由于Intents对不可信输入数据的验证不足，攻击者通过诱导用户打开特制页面来利用此漏洞，成功利用此漏洞可能导致任意代码执行。

二、影响版本

2.1受影响版本

Google Chrome Desktop for Mac/Linux < 104.0.5112.101

Google Chrome Desktop for Windows < 104.0.5112.102/101

Google Chrome Extended for Mac < 104.0.5112.101

Google Chrome Extended for Windows < 104.0.5112.102

2.2安全版本

Google Chrome Desktop for Mac/Linux >= 104.0.5112.101

Google Chrome Desktop for Windows >= 104.0.5112.102

Google Chrome Extended for Mac >= 104.0.5112.101

Google Chrome Extended for Windows >= 104.0.5112.102

三、修复建议

建议使用谷歌浏览器的用户尽快升级到最新版本，避免因为安全漏洞而遭到攻击者的利用。其他基于Chromium内核的浏览器预计最近也会发布更新修复漏洞，使用这些浏览器的用户也请注意升级。

参考链接

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html