最新的谷歌Chrome浏览器修复了27个安全漏洞

没有一个缺陷被列为被积极利用，但Chrome104的发行说明确实包含一些值得注意的，尽管描述很少，修复了影响Chrome“Omnibox”(地址栏)的严重缺陷，谷歌的可选在线保护安全浏览、Chrome中的DawnWebGPU实现，以及用于在Chromebook和Android设备之间共享文件的Google的类似AppleAirDrop的NearbyShare功能。

奥地利格拉茨理工大学的ErikKraft和MartinSchwarzl发现了一个影响Chrome键盘输入的中等严重程度的边信道信息泄漏问题。GrazTU的研究人员是2018年发现Meltdown和SpectreCPU侧信道攻击的核心。

谷歌向一位匿名研究人员支付了15,000美元，以解决与Omnibox内存相关的“免费后使用”问题，该问题被跟踪为CVE-2022-2603。

Chrome中的安全浏览也受到免费后使用的高严重性问题(CVE-2022-2604)以及由于对不可信输入的验证不足而导致的中等严重性问题(CVE-2022-2622)的影响。

安全浏览被Chrome和其他主要浏览器用于在用户访问危险网站或下载恶意应用程序之前向用户发出警告。

奇虎360的360Alpha实验室的NanWang和GuangGong于6月10日报告了该高严重性问题。他们还报告了Chrome的受管设备API(CVE-2022-2606)中的高严重性问题以及一个中等严重性问题。在Chrome的WebUI中免费使用后的严重性(CVE-2022-2620)。

Chrome的“附近共享”功能中的缺陷也是免费缺陷后使用(CVE-2022-2609)。

关于错误的详细信息很少，因为谷歌在其发行说明中限制访问错误详细信息，“直到大多数用户更新了修复程序”。如果错误存在于其他项目依赖但尚未修复的第三方库中，它也可能会限制访问。

Chrome104中与安全相关的一项重要更改是删除了U2FAPI，这是Chrome的原始安全密钥API，已被较新的Web身份验证(WebAuthn)API取代。WebAuthn于2019年成为W3C官方标准，届时它已经在所有主要浏览器以及Windows和Android中实现。

WebAuthn支持U2FUSB双因素身份验证安全密钥，因此不受此更改的影响，但网站需要迁移到WebAuthnAPI。对于网络开发人员来说，这一变化应该不足为奇，因为谷歌在过去两年中一直在警告这一变化。

“U2F从未成为一个开放的网络标准，并被纳入Web身份验证API(在Chrome67中启动)。Chrome从未直接支持FIDOU2FJavaScriptAPI，而是提供了一个名为cryptotoken的组件扩展......U2F和Cryptotoken坚定地支持维护模式，并鼓励网站在过去两年中迁移到Web身份验证API，”谷歌在最近的一篇博文中解释道。