注意了!Chrome 瀏覽器最新高危漏洞曝光
“
閱讀本文大概需要 3 分鐘。
4 月 14 日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了 Google Chrome 遠(yuǎn)程代碼執(zhí)行漏洞,編號(hào)為 CNVD-2021-27989。
據(jù)悉,黑客攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。
目前,漏洞細(xì)節(jié)已公開,Chrome 官方尚未發(fā)布新版本修復(fù)該漏洞。
一、漏洞情況分析
2021 年 4 月 14 日,國(guó)家信息安全漏洞共享平臺(tái)收錄了 Google Chrome 遠(yuǎn)程代碼執(zhí)行漏洞,CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞,可通過精心構(gòu)造惡意頁(yè)面,誘導(dǎo)受害者訪問,實(shí)現(xiàn)對(duì)瀏覽器的遠(yuǎn)程代碼執(zhí)行攻擊 , 但攻擊者單獨(dú)利用該漏洞無法實(shí)現(xiàn)沙盒(SandBox)逃逸。
沙盒是計(jì)算機(jī)領(lǐng)域的一種虛擬技術(shù),多用于計(jì)算機(jī)安全防控。
它可以通過重定向?qū)<夹g(shù),把程序生成和修改的文件定向到自身文件夾中。當(dāng)某個(gè)程序試圖發(fā)揮作用時(shí),就可以先讓它在沙盒中運(yùn)行。
如果用戶在沙箱中運(yùn)行的下載包含惡意代碼,則將被瀏覽器禁止進(jìn)一步運(yùn)行,這樣它就無法訪問或感染用戶的計(jì)算機(jī)系統(tǒng)了。
正常情況下,Chrome 瀏覽器是默認(rèn)開啟沙盒保護(hù)模式的。
二、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
Google Chrome < = 89.0.4389.114。
也就是說,截止目前所有版本的 Chrome 瀏覽器都存在風(fēng)險(xiǎn)。
三、漏洞處置建議
截止撰稿時(shí),Google 公司尚未發(fā)布新版本或補(bǔ)丁包修復(fù)漏洞,CNVD 建議用戶使用 Chrome 瀏覽器時(shí)不關(guān)閉默認(rèn)沙盒模式,同時(shí)謹(jǐn)慎訪問來源不明的網(wǎng)頁(yè)鏈接或文件。
值得一提的是,北京時(shí)間 4 月 15 日,谷歌向全平臺(tái)用戶推送 Chrome89 正式版。
但據(jù)擴(kuò)展迷了解,在本次官方更新的 37 個(gè)已修復(fù)漏洞中,并未包含本次 CNVD 發(fā)現(xiàn)的 CNVD-2021-27989。
因此即使大家升級(jí)到了 Chrome90,仍需要注意日常防護(hù)。
資料顯示,國(guó)家信息安全漏洞共享平臺(tái)是由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(中文簡(jiǎn)稱國(guó)家互聯(lián)應(yīng)急中心)聯(lián)合國(guó)內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國(guó)家信息安全漏洞共享平臺(tái),旨在國(guó)內(nèi)建立統(tǒng)一收集、發(fā)布、驗(yàn)證、分析等信息安全漏洞應(yīng)急處置體系。
自 2009 年成立以來,CNVD 平臺(tái)已成為最具社會(huì)影響力的國(guó)家級(jí)漏洞庫(kù),在維護(hù)良好漏洞生態(tài)秩序方面發(fā)揮了重要作用。
End
「進(jìn)擊的Coder」專屬學(xué)習(xí)群已正式成立,搜索「CQCcqc4」添加崔慶才的個(gè)人微信或者掃描下方二維碼拉您入群交流學(xué)習(xí)。
及時(shí)收看更多好文
↓↓↓