像往常一样,谷歌避免分享每个补丁漏洞的细节,目前我们所知道的是:
该漏洞是由V8的不当执行而引起的,V8是Google的一款开源及基于C++而成的高性能WebAssembly及JavaScript引擎。
该漏洞是Android UI中基于堆的缓冲区溢出漏洞,用于通过精心设计的HTML页面逃离Chrome的沙盒(即升级脆弱系统上的特权)
前者由谷歌的威胁分析集团(TAG)的Clement Lecigne和谷歌Project Zero的Samuel Gro令发现并报告。
后者由谷歌Project Zero的Maddie Stone、Mark Brand和Sergei Glazunov发现并报告。
谷歌说这两种情况都存在于野外。谷歌的TAG是一个专注于检测和挫败政府支持的攻击的团队,所以CVE-2020-16009很可能正在被政府支持的黑客利用。
该公司没有透露这两个Chrome零日和两周前修复的Chrome零日(CVE-2020-15999)是否被相同的攻击者利用。
适用于Windows、macOS和Linux的Chrome版本86.0.4240.183是最新的稳定版本,它包含了CVE-2020-16009的补丁和9个额外的漏洞。没有开启自动更新的用户应该手动检查更新。
Android版本的Chrome v86.0.4240.185包含了前面提到的所有补丁,以及CVE-2020-16010版本的补丁。该应用程序的更新可在谷歌中获得。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼稿件合作 15558192959
小E微信号:Eanquan0914
喜欢记得打赏小E哦!
本文始发于微信公众号(E安全):Google推出Chrome更新 修复两个被广泛利用的零日漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论