Google Chrome被間諜工具開採的漏洞也影響Safari、Edge

2022-09-02

Google 7月初修補Chrome的一項零時差攻擊漏洞，事實上也影響Safari及微軟Edge瀏覽器，蘋果和微軟也分別於上周及本月初釋出更新版軟體解決漏洞。

7月初Google釋出Chrome 103版，最重要的是解決CVE-2022-2294這個已遭開採的漏洞。根據首先發現該漏洞攻擊的安全廠商Avast指出，開採本項漏洞的可能是以色列一家名為Candiru的間諜軟體開發商，後者提供工具給政府客戶，以鎖定黎巴嫰記者以及土耳其、葉門和巴勒斯坦用戶。以Chrome 7月初的開採行動而言，受害者Windows電腦上即被植入DevilsTongue間諜軟體以竊取資料。

遭到開採的CVE-2022-2294為位於WebRTC堆積緩衝區溢位漏洞，可讓攻擊者設計惡意網頁內容，以待用戶瀏覽器造訪後，在用戶裝置上執行任意程式碼。

WebRTC是支援瀏覽器進行即時語音和影像通訊的API，也提供影音引擎、壓縮、影片codec等元件。2011年開源，目前獲多種瀏覽器支援，包括Chrome、Edge、Firefox、Opera及Safari的桌機及手機版本。

CVE-2022-2294似乎僅影響Safari及Microsoft Edge。蘋果於上周釋出iOS、macOS、以及iPadOS、watchOS、tvOS等所有平臺的更新版解決70多項漏洞，其中Safari 15.6版即是為了修補CVE-2022-2294。

微軟則已在7月初穩定通道釋出Microsoft Edge 103.0.1264.49版解決這項漏洞。

（相關資訊來自iThome）