在過去我們經常看到Google 旗下的“Project Zero”團隊曝光各種Windows 系統漏洞，不過在幾個月前微軟披露了存在於ChromeOS 系統中的一個漏洞。根據Chromium 錯誤日誌，微軟的365 Defender Research 團隊發現了Security: ChromeOS cras D-Bus SetPlayerIdentity，會導致內存嚴重損壞。

在日誌中寫道：“在定位到本地內存損壞問題後，我們發現該漏洞可以通過操縱音頻元數據遠程觸發。攻擊者可能會誘使用戶滿足這些條件，例如通過簡單地在瀏覽器中或從配對的藍牙設備播放一首新歌曲，或利用中間對手(AiTM) 功能遠程利用該漏洞”。

用更有技術的方式來描述就是，從命令行可以通過將128 字節的字符串傳遞給dbus-send 實用程序來觸發基於堆的緩衝區溢出，最終結果可能是簡單的拒絕服務或完整的遠程代碼執行。

在發現該漏洞後，Microsoft 將其標記為CVE-2022-2587，並且就關鍵效力而言，通用漏洞評分系統(CVSS) 得分為9.8 分（滿分10 分）。

幸運的是，這一切都是在2022 年4 月完成的，此後Google及其ChromeOS 團隊已對其進行了修補。Microsoft 365 Defender 研究團隊的Jonathan Bar Or 寫道：“代碼已提交，並在多次合併後向用戶正式發布。我們感謝Google 團隊和Chromium 社區為解決該問題所做的努力”。