19 августа Microsoft опубликовала технические подробности о критической уязвимости ChromeOS, которая может быть использована для проведения DoS-атак и удаленного выполнения кода.
Ошибка CVE-2022-2587
(оценка CVSS 9,8) описана как запись за пределами допустимого диапазона и уже устранена. Проблема была обнаружена в компоненте CRAS (ChromiumOS Audio Server) и могла быть вызвана искаженными метаданными, связанными с песнями.
CRAS находится между операционной системой и ALSA (Advanced Linux Sound Architecture) для маршрутизации звука на подключенные периферийные устройства.
По словам исследователей, сервер содержал функцию, которая не проверяла предоставленный пользователем аргумент «удостоверение личности», что приводило к переполнению буфера в куче. Это могло позволить киберпреступнику удаленно выполнить код. Уязвимый компонент содержит метод, который извлекает «идентификацию» из метаданных, представляющих название песни. Злоумышленник, изменив метаданные аудио, может использовать уязвимость.
По словам Microsoft, проблема может быть использована либо из браузера, либо через Bluetooth. В обоих случаях уязвимая функция вызывается при изменении метаданных, например, при воспроизведении новой песни либо в браузере, либо через сопряженное Bluetooth-устройство.
Согласно отчету Microsoft , CVE-2022-2587 позволяет провести DoS-атаку или удаленно выполнить код. Однако, можно выделять и освобождать фрагменты с помощью манипулирования метаданными мультимедиа. В этом случае хакеру необходимо связать эксплойт с другими уязвимостями, чтобы успешно выполнить любой произвольный код.
Google уже исправила уязвимость в июне. Кроме того, Microsoft не обнаружила признаков эксплуатации проблемы в атаках.
Источник: SecurityLab