谷歌又修复两个已遭利用的Chrome浏览器0day漏洞

  • A+
所属分类:安全漏洞

今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day。不过这次并不像之前那样由谷歌内部团队发现,而是源自匿名人士。


从更新日志来看,这两枚 0day 是 CVE-2020-16013 和 CVE-2020-16017,均被谷歌评级为“高危”漏洞。目前它们的漏洞详情并未公开。谷歌指出,这两个漏洞已遭在野利用。


其中,CVE-2020-16013 是 “V8 中的不当实现”问题。V8 是负责处理 JavaScript 代码的 Chrome 组件。该漏洞可导致远程攻击者创建特殊构造的网页,诱骗受害者访问该网页,进一步攻陷系统。CVE-2020-16017 是位于 Site Isolation 中的“释放后使用”内存损坏漏洞。Site Isolation 是隔离各站点数据的 Chrome 组件。远程攻击者可创建特殊构造的网页并诱骗受害者访问,触发释放后错误并在目标系统上执行任意代码。如遭成功利用,该漏洞可导致攻击者攻陷受影响系统。


目前尚不清楚这两个 0day 是否已被当作利用链组合利用还是分开利用。CVE-202-16013 在本周二报告,CVE-2020-16017 在今天早些时候报告。此前,谷歌修复的其它三个 0day 是 CVE-2020-15999、CVE-2020-16009 和 CVE-2020-16010。


多数 0day 通常被用于攻击少量精选目标,因此多数用户无需恐慌。


虽然目前尚不清楚这两个 0day 对普通用户的危险有多大,但仍然建议 Chrome 用户通过该浏览器的内置更新功能(Chrome 目录 → Help 选项 → 关于 Google Chrome 部分)尽快更新至最新版本 v86.0.4240.198。


原文链接


https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/


https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html


谷歌又修复两个已遭利用的Chrome浏览器0day漏洞


文章来源:代码卫士


谷歌又修复两个已遭利用的Chrome浏览器0day漏洞

本文始发于微信公众号(互联网安全内参):谷歌又修复两个已遭利用的Chrome浏览器0day漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: