漏洞简介:
2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome远程代码执行0Day的POC详情,漏洞等级:严重,漏洞评分:9.8。
GoogleChrome是由Google开发的免费网页浏览器。Chrome是化学元素“铬”的英文名称,过去也用Chrome称呼浏览器的外框。Chrome相应的开放源代码计划名为Chromium,而GoogleChrome本身是非自由软件,未开放全部源代码
该漏洞已验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版(89.0.4389.114)仍存在漏洞,360CERT建议广大用户关注官方Chrome正式版更新,及时修补漏洞。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
Chrome远程代码执行漏洞
组件:Chrome
漏洞类型:命令执行
影响:服务器接管
简述:攻击者利用此漏洞,可以构造一个恶意的web页面,当用户访问该页面时,会造成远程代码执行。
目前该漏洞已在最新版本Chrome上得到验证
漏洞影响范围:
漏洞影响的产品版本包括:
GoogleChrome < = 89.0.4389.114。
复现过程:
-
解压文件,得到一个JS文件和一个html文件
-
右键Chrome快捷方式,打开属性,找到程序的安装路径,在后面空格加上-no-sandbox,点击应用后保存。(一定要打上空格,不然会报错)
![Google Chrome 远程代码执行漏洞复现]( "Google Chrome 远程代码执行漏洞复现")
-
将路径复制粘贴到cmd中,加上双引号再空格加上-no-sandbox,回车,将html文件拖到chrome中。
![Google Chrome 远程代码执行漏洞复现]( "Google Chrome 远程代码执行漏洞复现")
-
弹出计算器,复现成功
![Google Chrome 远程代码执行漏洞复现]( "Google Chrome 远程代码执行漏洞复现")
微信公众号回复:“0day”获取POC
修复建议:
将Chrome更新至最新版本即可。
扫一扫了解更多
原文始发于微信公众号(网安之道):Google Chrome 远程代码执行漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论