在过去我们 时常看到 Google 旗下的“Project Zero”团队曝光各种 Windows 系统 漏洞，不过在几个月前微软披露了存在于 ChromeOS 系统中的一个 漏洞 。依据 Chromium 舛误日志，微软的 365 Defender Research 团队发现了 Security： ChromeOS cras D-Bus SetPlayerIdentity，会招致内存严峻 败坏 。

在日志中写道：“在定位到当地内存 败坏问题后，我们发现该 漏洞 能够通过控制音频元数据远程触发 。 袭击者可能会诱使消费者满足这些条件，例如通过 容易地在阅读器中或从配对的蓝牙 设施播放一首新歌曲，或利用之间对手 (AiTM) 性能远程利用该 漏洞” 。

用更有技术的 模式来 形容便是，从命令行 能够通过将 128 字节的字符串传递给 dbus-send 有用程序来触发基于堆的缓冲区溢出，最后 后果可能是 容易的 回绝服务或 完全的远程代码执行 。

在发现该 漏洞后，Microsoft 将其标记为 CVE-2022-2587，而且就 要害 效劳而言，通用 漏洞评分系统 (CVSS) 得分为 9.8 分(满分 10 分) 。

厄运的是，这 所有都是在 2022 年 4 月 实现的， 尔后Google及其 ChromeOS 团队已对其进行了修补 。Microsoft 365 Defender 探究团队的 Jonathan Bar Or 写道：“代码已提交，并在 屡次合并后向消费者正式公布 。我们 感激 Google 团队和 Chromium 社区为解决该问题所做的 奋力” 。

免责声明：凡标注转载/编译字样内容并非本站原创，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。