Google Chrome被間諜工具開採的漏洞也影響Safari、Edge

Google 7月初修補Chrome的一項零時差攻擊漏洞,事實上也影響Safari及微軟Edge瀏覽器,蘋果和微軟也分別於上周及本月初釋出更新版軟體解決漏洞。

 

7月初Google釋出Chrome 103版,最重要的是解決CVE-2022-2294這個已遭開採的漏洞。根據首先發現該漏洞攻擊的安全廠商Avast指出,開採本項漏洞的可能是以色列一家名為Candiru的間諜軟體開發商,後者提供工具給政府客戶,以鎖定黎巴嫰記者以及土耳其、葉門和巴勒斯坦用戶。以Chrome 7月初的開採行動而言,受害者Windows電腦上即被植入DevilsTongue間諜軟體以竊取資料。

 

遭到開採的CVE-2022-2294為位於WebRTC堆積緩衝區溢位漏洞,可讓攻擊者設計惡意網頁內容,以待用戶瀏覽器造訪後,在用戶裝置上執行任意程式碼。

 

WebRTC是支援瀏覽器進行即時語音和影像通訊的API,也提供影音引擎、壓縮、影片codec等元件。2011年開源,目前獲多種瀏覽器支援,包括Chrome、Edge、Firefox、Opera及Safari的桌機及手機版本。

 

CVE-2022-2294似乎僅影響Safari及Microsoft Edge。蘋果於上周釋出iOS、macOS、以及iPadOS、watchOS、tvOS等所有平臺的更新版解決70多項漏洞,其中Safari 15.6版即是為了修補CVE-2022-2294。

 

微軟則已在7月初穩定通道釋出Microsoft Edge 103.0.1264.49版解決這項漏洞。

(相關資訊來自iThome