```md # 关键漏洞信息 ## 漏洞详情 - **问题ID**: 40057601 - **标题**: Security: heap-use-after-free in ForceSigninVerifier::SendRequestIfNetworkAvailable - **描述**: 该漏洞与 https://crbug.com/chromium/1238268 类似,根本原因是 NetworkConnectionTracker 在所有关键服务销毁后仍继续接收Mojo调用,并运行与已经释放的对象相关的回调函数,且没有使用weakptr。 - **优先级**: P1 - **严重性**: S1 ## 根源分析 1. 当 ChromeSigninClient::VerifySyncToken 被调用时,会创建一个 ForceSigninVerifier 实例。 2. 一个回调会被创建并放入 NetworkConnectionTracker::connection_type_callbacks_ 中,当 ForceSigninVerifier 初始化时会调用 SendRequest。 ## 修复状态 - **状态**: Fixed - **修复人**: dr...@chromium.org ## 相关链接 - [问题详情](https://source.chromium.org/chromium/chromium/src/+/main:chrome/browser/signin/chrome_signin_client.cc;drc=e5a38eddbdf45d7563a0dfda0b915303679820955e586ff43900d19debd1b8b03af1bb66c95fl58;l=282) - [额外代码](https://source.chromium.org/chromium/chromium/src/+/main:chrome/browser/signin/force_signin_verifier.cc;drc=2d4200591db661a81a1d878cfd278b061c7bc8a1;l=54) - [网络连接跟踪代码](https://source.chromium.org/chromium/chromium/src/+/main:services/network/public/cpp/network_connection_tracker.cc;drc=3d7d70920a92c08f6a16597f9f44bb28ac98d9a4;l=83) ## 其他信息 - **报告人**: yu...@gmail.com - **CVE编号**: 2021-37997 ```