注意了!Chrome瀏覽器最新高危漏洞曝光
4月14日,國家信息安全漏洞共享平臺(CNVD)收錄了Google Chrome遠(yuǎn)程代碼執(zhí)行漏洞,編號為CNVD-2021-27989。
據(jù)悉,黑客攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。
目前,漏洞細(xì)節(jié)已公開,Chrome官方尚未發(fā)布新版本修復(fù)該漏洞。
一、漏洞情況分析
2021年4月14日,國家信息安全漏洞共享平臺收錄了Google Chrome遠(yuǎn)程代碼執(zhí)行漏洞,CNVD對該漏洞的綜合評級為“高危”。
未經(jīng)身份驗證的攻擊者利用該漏洞,可通過精心構(gòu)造惡意頁面,誘導(dǎo)受害者訪問,實現(xiàn)對瀏覽器的遠(yuǎn)程代碼執(zhí)行攻擊 , 但攻擊者單獨利用該漏洞無法實現(xiàn)沙盒(SandBox)逃逸。
沙盒是計算機領(lǐng)域的一種虛擬技術(shù),多用于計算機安全防控。
它可以通過重定向?qū)<夹g(shù),把程序生成和修改的文件定向到自身文件夾中。當(dāng)某個程序試圖發(fā)揮作用時,就可以先讓它在沙盒中運行。
如果用戶在沙箱中運行的下載包含惡意代碼,則將被瀏覽器禁止進一步運行,這樣它就無法訪問或感染用戶的計算機系統(tǒng)了。
正常情況下,Chrome瀏覽器是默認(rèn)開啟沙盒保護模式的。
二、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
Google Chrome < = 89.0.4389.114。
也就是說,截止目前所有版本的Chrome瀏覽器都存在風(fēng)險。
三、漏洞處置建議
截止撰稿時,Google公司尚未發(fā)布新版本或補丁包修復(fù)漏洞,CNVD建議用戶使用Chrome瀏覽器時不關(guān)閉默認(rèn)沙盒模式,同時謹(jǐn)慎訪問來源不明的網(wǎng)頁鏈接或文件。
值得一提的是,北京時間4月15日,谷歌向全平臺用戶推送Chrome89正式版。
但據(jù)擴展迷了解,在本次官方更新的37個已修復(fù)漏洞中,并未包含本次CNVD發(fā)現(xiàn)的CNVD-2021-27989。
因此即使大家升級到了Chrome90,仍需要注意日常防護。
資料顯示,國家信息安全漏洞共享平臺是由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(中文簡稱國家互聯(lián)應(yīng)急中心)聯(lián)合國內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國家信息安全漏洞共享平臺,旨在國內(nèi)建立統(tǒng)一收集、發(fā)布、驗證、分析等信息安全漏洞應(yīng)急處置體系。
自2009年成立以來,CNVD平臺已成為最具社會影響力的國家級漏洞庫,在維護良好漏洞生態(tài)秩序方面發(fā)揮了重要作用。
人人影視字幕組涼了,這款美劇APP不能錯過!
再見Vip,免費看網(wǎng)飛影視大片!