国外安全研究员发布了Chrome 浏览器远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别,攻击者可以利用漏洞构造特别的页面,访问该页面会造成远程代码执行。
1
漏洞描述
国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。
Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。
该0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍受漏洞影响。
2
漏洞等级
严重
3
受影响的版本
Chrome <= 89.0.4389.114
使用chrome内核的其他浏览器,也会受到漏洞影响。
4
安全版本
Chrome(90.0.4430.70)beta测试版
5
漏洞复现与验证
腾讯安全专家已在chrome( 89.0.4389.114)上对公开的poc进行验证。
6
漏洞修复建议
目前Google只针对该漏洞发布了beta测试版的Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍存在风险。
临时解决方案:
腾讯安全专家建议重要机构用户,可以暂时升级到chrome测试版(90.0.4430.70),或者在沙箱中使用。在攻防演练应用场景,应特别注意防范点击来历不明的URL,避免点击可疑邮件附件,以免中招受害。
其他用户应密切关注版本升级信息,其他使用chrome内核的浏览器也受影响。用户可以通过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装浏览器到最新版本。
7
时间线
2021年4月13日,国外安全研究人员公布了0day漏洞poc;
2021年4日13日,腾讯安全专家验证POC,发布风险通告。
参考链接:
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html