注意了！Chrome瀏覽器最新高危漏洞曝光

4月14日，國家信息安全漏洞共享平臺（CNVD）收錄了Google Chrome遠程代碼執(zhí)行漏洞，編號為CNVD-2021-27989。

據(jù)悉，黑客攻擊者利用該漏洞，可在未授權的情況下遠程執(zhí)行代碼。

目前，漏洞細節(jié)已公開，Chrome官方尚未發(fā)布新版本修復該漏洞。

一、漏洞情況分析

2021年4月14日，國家信息安全漏洞共享平臺收錄了Google Chrome遠程代碼執(zhí)行漏洞，CNVD對該漏洞的綜合評級為“高危”。

未經(jīng)身份驗證的攻擊者利用該漏洞，可通過精心構造惡意頁面，誘導受害者訪問，實現(xiàn)對瀏覽器的遠程代碼執(zhí)行攻擊 , 但攻擊者單獨利用該漏洞無法實現(xiàn)沙盒（SandBox）逃逸。

沙盒是計算機領域的一種虛擬技術，多用于計算機安全防控。

它可以通過重定向?qū)＜夹g，把程序生成和修改的文件定向到自身文件夾中。當某個程序試圖發(fā)揮作用時，就可以先讓它在沙盒中運行。

如果用戶在沙箱中運行的下載包含惡意代碼，則將被瀏覽器禁止進一步運行，這樣它就無法訪問或感染用戶的計算機系統(tǒng)了。

正常情況下，Chrome瀏覽器是默認開啟沙盒保護模式的。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Google Chrome < = 89.0.4389.114。

也就是說，截止目前所有版本的Chrome瀏覽器都存在風險。

三、漏洞處置建議

截止撰稿時，Google公司尚未發(fā)布新版本或補丁包修復漏洞，CNVD建議用戶使用Chrome瀏覽器時不關閉默認沙盒模式，同時謹慎訪問來源不明的網(wǎng)頁鏈接或文件。

值得一提的是，北京時間4月15日，谷歌向全平臺用戶推送Chrome89正式版。

但據(jù)擴展迷了解，在本次官方更新的37個已修復漏洞中，并未包含本次CNVD發(fā)現(xiàn)的CNVD-2021-27989。

因此即使大家升級到了Chrome90，仍需要注意日常防護。

資料顯示，國家信息安全漏洞共享平臺是由國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（中文簡稱國家互聯(lián)應急中心）聯(lián)合國內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國家信息安全漏洞共享平臺，旨在國內(nèi)建立統(tǒng)一收集、發(fā)布、驗證、分析等信息安全漏洞應急處置體系。

自2009年成立以來，CNVD平臺已成為最具社會影響力的國家級漏洞庫，在維護良好漏洞生態(tài)秩序方面發(fā)揮了重要作用。

點分享

點收藏

點點贊

點在看