注意了！Chrome瀏覽器最新高危漏洞曝光！升級(jí)最新版也沒用~

來(lái)源 | 擴(kuò)展迷EXTFANS（ID：infinitydaily）

4月14日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Google Chrome遠(yuǎn)程代碼執(zhí)行漏洞，編號(hào)為CNVD-2021-27989。

據(jù)悉，黑客攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。

目前，漏洞細(xì)節(jié)已公開，Chrome官方尚未發(fā)布新版本修復(fù)該漏洞。

一、漏洞情況分析

2021年4月14日，國(guó)家信息安全漏洞共享平臺(tái)收錄了Google Chrome遠(yuǎn)程代碼執(zhí)行漏洞，CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞，可通過精心構(gòu)造惡意頁(yè)面，誘導(dǎo)受害者訪問，實(shí)現(xiàn)對(duì)瀏覽器的遠(yuǎn)程代碼執(zhí)行攻擊 , 但攻擊者單獨(dú)利用該漏洞無(wú)法實(shí)現(xiàn)沙盒（SandBox）逃逸。

沙盒是計(jì)算機(jī)領(lǐng)域的一種虛擬技術(shù)，多用于計(jì)算機(jī)安全防控。

它可以通過重定向?qū)＜夹g(shù)，把程序生成和修改的文件定向到自身文件夾中。當(dāng)某個(gè)程序試圖發(fā)揮作用時(shí)，就可以先讓它在沙盒中運(yùn)行。

如果用戶在沙箱中運(yùn)行的下載包含惡意代碼，則將被瀏覽器禁止進(jìn)一步運(yùn)行，這樣它就無(wú)法訪問或感染用戶的計(jì)算機(jī)系統(tǒng)了。

正常情況下，Chrome瀏覽器是默認(rèn)開啟沙盒保護(hù)模式的。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Google Chrome < = 89.0.4389.114。

也就是說，截止目前所有版本的Chrome瀏覽器都存在風(fēng)險(xiǎn)。

三、漏洞處置建議

截止撰稿時(shí)，Google公司尚未發(fā)布新版本或補(bǔ)丁包修復(fù)漏洞，CNVD建議用戶使用Chrome瀏覽器時(shí)不關(guān)閉默認(rèn)沙盒模式，同時(shí)謹(jǐn)慎訪問來(lái)源不明的網(wǎng)頁(yè)鏈接或文件。

值得一提的是，北京時(shí)間4月15日，谷歌向全平臺(tái)用戶推送Chrome89正式版。

但據(jù)擴(kuò)展迷了解，在本次官方更新的37個(gè)已修復(fù)漏洞中，并未包含本次CNVD發(fā)現(xiàn)的CNVD-2021-27989。

因此即使大家升級(jí)到了Chrome90，仍需要注意日常防護(hù)。

資料顯示，國(guó)家信息安全漏洞共享平臺(tái)是由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（中文簡(jiǎn)稱國(guó)家互聯(lián)應(yīng)急中心）聯(lián)合國(guó)內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國(guó)家信息安全漏洞共享平臺(tái)，旨在國(guó)內(nèi)建立統(tǒng)一收集、發(fā)布、驗(yàn)證、分析等信息安全漏洞應(yīng)急處置體系。

自2009年成立以來(lái)，CNVD平臺(tái)已成為最具社會(huì)影響力的國(guó)家級(jí)漏洞庫(kù)，在維護(hù)良好漏洞生態(tài)秩序方面發(fā)揮了重要作用。

點(diǎn)分享

點(diǎn)收藏

點(diǎn)點(diǎn)贊

點(diǎn)在看