【每日听安全】Chrome浏览器被爆严重零日漏洞，谷歌建议用户尽快更新

事件一：Chrome浏览器被爆严重零日漏洞，谷歌建议用户尽快更新

近期，谷歌发布公告，称已经为Windows用户发布了Chrome 103.0.5060.114更新，以解决在野被攻击者利用的高严重性零日漏洞，这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道推出，谷歌表示它需要几天或几周的时间才能触达整个用户群。

按照提示，进入Chrome 菜单>帮助>关于 Google Chrome 检查新更新时，发现更新立即可用。同时Web浏览器还将自动检查新更新并在下次启动后自动安装它们。

上周五，有安全研究报告说，近期修复的零日漏洞(编号为CVE - 222 -2294)是WebRTC (Web实时通信)组件中一个严重的基于堆的缓冲区溢出漏洞。

尽管谷歌承认这个零日漏洞在野被利用，但该公司尚未分享技术细节或有关这些事件的任何信息。谷歌表示：“在大多数用户更新修复之前，对错误详细信息和链接的访问可能会受到限制。如果漏洞存在于第三方中，在尚未修复之前，谷歌也会保留限制。”由于有关攻击的详细信息延迟发布，Chrome用户有足够的时间来更新和防止利用尝试，直到 Google 提供更多详细信息。

通过此次更新，谷歌解决了自年初以来的第四次 Chrome 零日问题，而在这之前发现并修补的前三个零日漏洞分别是：CVE-2022-1364、CVE-2022-1096、CVE-2022-0609。

事件二：入侵数百个网站和程序，NPM供应链攻击造成的影响不可估量

近期，一次可以追溯到2021年12月的NPM供应链攻击使用了几十个包含模糊Javascript代码的恶意NPM模块，并破坏了数百个应用和网站。正如安全研究人员所发现的那样，这一行动背后的威胁行为者针对一些开发者使用URL劫持，如gumbrellajs和ionic.ioNPM模块。

他们通过非常相似的模块命名方式来诱骗受害者，添加恶意软件包旨在窃取嵌入表单(包括用于登录的表单)的数据到他们的应用程序或网站。例如，该活动中使用的一个恶意NPM软件包（icon-package）有超过17,000次下载，为的就是将序列化的表单数据窃取到多个攻击者控制的域。据悉，IconBurst依赖于URL劫持，这些恶意软件包的名称与合法的文件类似。此外，用于泄露数据的域之间的相似性表明，该活动中的各个模块都在同一个参与者的控制之下。

虽然有安全研究团队已于2022年7月1日联系了NPM安全团队，但NPM注册表中仍然存在一些 IconBurst 恶意软件包。

尽管研究人员可以编制一份用于IconBurst供应链攻击的恶意软件包列表，但由于无法知道自去年12月以来通过受感染的应用程序和网页窃取了多少数据和凭据，因此其影响未能确定。

当时唯一可用的指标是每个恶意 NPM 模块的安装次数，而ReversingLabs的统计数据相当惊人。安全研究团队表示：虽然目前尚不清楚这次攻击的全部范围，但被发现的恶意软件包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。捆绑在NPM模块中的恶意代码正在未知数量的移动和桌面应用程序和网页中运行并被获取大量用户数据，能确定的NPM 模块的总下载量已超过 27,000 次。