微软称ChromeOS安全漏洞,可以让黑客执行拒绝服务攻击
漏洞是网络安全中存在的一个大威胁,并且漏洞的出现是因为自身系统的出现,所以一些高危漏洞一旦被黑客利用了,那么企业的损失是会比较严重的。企业是无法避免漏洞的出现的,想要把漏洞带来的损失降低,就需要进行漏洞检测,漏洞检测是一项基本的安全措施,它可以让安全人员了解漏洞的危害,防患于未然,并且漏洞检测也可以有效的减少攻击面,是降低漏洞影响的一个安全措施。
近段时间,微软就报告了一个安全漏洞,该漏洞就是ChromeOS远程内存损坏漏洞,这个漏洞最早是由研究员在今年的4月份中发现并报告的,谷歌为其编号为CVE-2022-2587,经过研究在CVSS评分中被评为9.8分,是一个严重性漏洞,这个漏洞的更新补丁在今年的6月份中被发布了出来。
据了解,ChromeOS漏洞是可以让黑客执行拒绝服务(DoS)攻击的,并在一定的情况下,它还可以让黑客执行远程代码执行。ChromeOS它是一个使用了D-Bus的操作系统,通常来说ChromeOS中出现的漏洞是比较少的,但是谷歌现在发现的这个漏洞是ChromeOS特定的内存损坏漏洞。
通过安全研究员的分析,可以知道这个漏洞是存在在ChromiumOS Audio Server(CRAS)中的,而CRAS就是位于操作系统和ALSA之间的,可以把音频路由到新连接的支持音频的外围设备。这个漏洞是可以让黑客通过操纵音频元数据远程触发,而且黑客还可以通过诱导用户满足所需要的条件,比如:利用adversary-in-the-middle功能、从配对的蓝牙设备播放一首新歌曲。并且安全研究员在检测一个名为SetPlayerIdentity的处理函数后发现,这个函数调用了C库函数strcpy,而strcpy函数是会容易导致各种内存损坏漏洞,原因就是因为它不执行任何边界检查,所以它是被划分为不安全的。
微软表示,该漏洞目前还没有发现有被利用的迹象,该漏洞现在已经被修复了。从该漏洞的影响范围,以及它可以被黑客进行远程触发来考虑,这个安全漏洞的优先级和修复发布速度都是合理的。
出现漏洞是需要及时的进行修复的,只有及时的对漏洞进行修复,才能降低漏洞带来的影响。并且企业还需要及时的对漏洞进行检测,这样才能有防范的措施,才不至于漏洞被黑客利用了。
