本文来源cnBeta

　　在往日咱们经常见到 Google 麾下的“Project Zero”团队曝光各式 Windows 体系漏洞，只是在几个月前微软披露了存留于 ChromeOS 体系中的一种漏洞。依据 Chromium 错误日志，微软的 365 Defender Research 团队发觉了 Security： ChromeOS cras D-Bus SetPlayerIdentity，会导致内存惨重损坏。

　　在日志中写道：“在定位到当地内存损坏难题后，咱们发觉该漏洞可行经过操纵音频元数据远程触发。进击者可能会诱运用户满足这点要求，比如经过容易地在浏览器中或从配对的蓝牙设施播放一首新歌曲，或应用当中对手 （AiTM） 功效远程应用该漏洞”。

　　用更有技艺的形式来描画便是，从命令行可行经过将 128 字节的字符串传导给 dbus-send 实用程序来触发鉴于堆的缓冲区流出，终归结果可能是容易的拒绝效劳或完整的远程代码执行。

　　在发觉该漏洞后，Microsoft 将其标志为 CVE-2022-2587，而且就要害出力而言，通用漏洞评分体系 （CVSS） 得分为 9.8 分（满分 10 分）。

　　幸运的是，这一切皆是在 2022 年 4 月达成的，今后Google及其 ChromeOS 团队已对其发展了修补。Microsoft 365 Defender 探讨团队的 Jonathan Bar Or 写道：“代码已提交，并在屡次合并后向使用者正规发表。咱们感谢 Google 团队和 Chromium 社区为解决该难题所做的努力”。