微軟發現一個 ChromeOS 遠端記憶體損壞漏洞

微軟方面近日公佈了他們發現的有關 ChromeOS 漏洞的技術細節。公告指出，該公司在 ChromeOS 元件中發現了一個可以遠端觸發的記憶體損壞漏洞，允許攻擊者執行拒絕服務 (DoS) 攻擊，或者在極端情況下執行遠端程式碼執行 (RCE)。

微軟的一名研究人員在今年 4 月下旬向谷歌報告了該漏洞。谷歌將其分配為 CVE-2022-2587，CVSS 得分 9.8（程度歸類為嚴重）並描述為越界寫入，相關補丁已在 6 月釋出。

ChromeOS 是一個使用 D-Bus 的作業系統。由於谷歌專有的強化措施，與 Windows 或 MacOS 相比，通常 ChromeOS 中被曝出的漏洞要更少。此次微軟所發現的是 ChromeOS 特定的記憶體損壞漏洞。

根據介紹，該漏洞被發現於 ChromiumOS Audio Server (CRAS) 中；CRAS 位於作業系統和 ALSA 之間，用於將音訊路由到新連線的支援音訊的外圍裝置。此漏洞可以透過操縱音訊後設資料遠端觸發，攻擊者可能會誘使使用者滿足這些條件，例如透過簡單地在瀏覽器中或從配對的藍芽裝置播放一首新歌曲，或利用 adversary-in-the-middle (AiTM) 功能遠端利用該漏洞。

安全研究人員在檢查一個名為 SetPlayerIdentity 的處理函式後發現，該處理函式呼叫了 C 庫函式 strcpy。

“眾所周知，strcpy 函式會導致各種記憶體損壞漏洞，因為它不執行任何邊界檢查，因此被認為是不安全的。由於在呼叫 strcpy 之前沒有對使用者提供的身份引數進行邊界檢查（除了 D-Bus 訊息的預設訊息長度限制），我們確信我們可以觸發基於堆的緩衝區溢位，從而觸發記憶體損壞漏洞。基於堆的緩衝區溢位可能是多個漏洞的原因，最臭名昭著的是透過各種手段導致任意程式碼執行。”

不過微軟並沒有發現任何該漏洞被利用的跡象。“基於堆的緩衝區溢位的影響範圍從簡單的 DoS 到成熟的 RCE。儘管可以透過媒體後設資料操作來分配和釋放塊，但在這種情況下執行精確的堆清理並非易事，攻擊者需要將漏洞與其他漏洞連結起來才能成功執行任意程式碼。考慮到漏洞的潛在影響，再加上它可以被遠端觸發，這是一個安全風險，證明了漏洞優先順序和修復釋出的速度是合理的。”

微軟稱讚了谷歌在報告後解決問題的速度，“我們對漏洞修復的速度和整個過程的有效性印象深刻。在不到一週的時間裡，程式碼就被 commit 了，並在幾次合併後普遍可供使用者使用。我們感謝 Google 團隊和 Chromium 社群為解決該問題所做的努力。”