微軟稱ChromeOS安全漏洞,可以讓黑客執行拒絕服務攻擊
漏洞是網絡安全中存在的一個大威脅,并且漏洞的出現是因為自身系統的出現,所以一些高危漏洞一旦被黑客利用了,那么企業的損失是會比較嚴重的。企業是無法避免漏洞的出現的,想要把漏洞帶來的損失降低,就需要進行漏洞檢測,漏洞檢測是一項基本的安全措施,它可以讓安全人員了解漏洞的危害,防患于未然,并且漏洞檢測也可以有效的減少攻擊面,是降低漏洞影響的一個安全措施。
近段時間,微軟就報告了一個安全漏洞,該漏洞就是ChromeOS遠程內存損壞漏洞,這個漏洞最早是由研究員在今年的4月份中發現并報告的,谷歌為其編號為CVE-2022-2587,經過研究在CVSS評分中被評為9.8分,是一個嚴重性漏洞,這個漏洞的更新補丁在今年的6月份中被發布了出來。
據了解,ChromeOS漏洞是可以讓黑客執行拒絕服務(DoS)攻擊的,并在一定的情況下,它還可以讓黑客執行遠程代碼執行。ChromeOS它是一個使用了D-Bus的操作系統,通常來說ChromeOS中出現的漏洞是比較少的,但是谷歌現在發現的這個漏洞是ChromeOS特定的內存損壞漏洞。
通過安全研究員的分析,可以知道這個漏洞是存在在ChromiumOS Audio Server(CRAS)中的,而CRAS就是位于操作系統和ALSA之間的,可以把音頻路由到新連接的支持音頻的外圍設備。這個漏洞是可以讓黑客通過操縱音頻元數據遠程觸發,而且黑客還可以通過誘導用戶滿足所需要的條件,比如:利用adversary-in-the-middle功能、從配對的藍牙設備播放一首新歌曲。并且安全研究員在檢測一個名為SetPlayerIdentity的處理函數后發現,這個函數調用了C庫函數strcpy,而strcpy函數是會容易導致各種內存損壞漏洞,原因就是因為它不執行任何邊界檢查,所以它是被劃分為不安全的。
微軟表示,該漏洞目前還沒有發現有被利用的跡象,該漏洞現在已經被修復了。從該漏洞的影響范圍,以及它可以被黑客進行遠程觸發來考慮,這個安全漏洞的優先級和修復發布速度都是合理的。
出現漏洞是需要及時的進行修復的,只有及時的對漏洞進行修復,才能降低漏洞帶來的影響。并且企業還需要及時的對漏洞進行檢測,這樣才能有防范的措施,才不至于漏洞被黑客利用了。
