Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开

  • A+
所属分类:安全漏洞

国外安全研究员发布了Chrome 浏览器远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别,攻击者可以利用漏洞构造特别的页面,访问该页面会造成远程代码执行。


1

漏洞描述


国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。

 

Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。

 

该0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍受漏洞影响。


2

漏洞等级

严重

3

受影响的版本


Chrome <= 89.0.4389.114

使用chrome内核的其他浏览器,也会受到漏洞影响。


4

安全版本


Chrome(90.0.4430.70)beta测试版


5

漏洞复现与验证


腾讯安全专家已在chrome( 89.0.4389.114)上对公开的poc进行验证。

Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开


6

漏洞修复建议


目前Google只针对该漏洞发布了beta测试版的Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍存在风险。


临时解决方案:

腾讯安全专家建议重要机构用户,可以暂时升级到chrome测试版(90.0.4430.70),或者在沙箱中使用。在攻防演练应用场景,应特别注意防范点击来历不明的URL,避免点击可疑邮件附件,以免中招受害。

 

其他用户应密切关注版本升级信息,其他使用chrome内核的浏览器也受影响。用户可以通过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装浏览器到最新版本。


7

时间线


2021年4月13日,国外安全研究人员公布了0day漏洞poc;

2021年4日13日,腾讯安全专家验证POC,发布风险通告。


参考链接:

https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html

本文始发于微信公众号(腾讯安全威胁情报中心):Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: