V8类型混淆漏洞安全通告

一、漏洞名称

V8类型混淆漏洞

二、漏洞编号

CVE-2020-6418

三、漏洞详情

近日，谷歌Chrome浏览器与微软Edge浏览器发布了安全更新，在Google Chrome浏览器80.0.3987.122以下与Microsoft Edge浏览器80.0.361.62以下的版本中，开源JavaScript和WebAssembly引擎V8中存在一个类型混淆漏洞（CVE-2020-6418），可能导致攻击者非法访问数据，从而执行恶意代码。

监测发现，在更新发布前，该漏洞就已经被攻击者用于实际攻击。目前漏洞细节已公开，请装有谷歌Chrome与微软Edge等使用V8引擎的浏览器用户及时进行防护。

四、危害影响

Google Chrome< 80.0.3987.122

Microsoft Edge< 80.0.361.62

五、修复建议

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护。

• Google Chrome浏览器升级步骤：

（1）在Chrome浏览器中，点击右上方的菜单栏图标，选择“帮助”-“关于Google Chrome(G)”；

（2）确认浏览器当前版本，80.0.3987.122以下版本（不含80.0.3987.122）均存在上述漏洞；

（3）在打开“关于Chrome”界面后，将自动进行更新，如果未自动更新或更新失败，请刷新该界面；

（4）如果上述更新方式失败，建议访问Chrome官网下载最新版本并重新安装：

https://www.google.cn/intl/zh-CN/chrome。

• Microsoft Edge浏览器更新步骤：

用户可通过开启Windows系统的Microsoft Update服务进行自动更新安装相应补丁。

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。

右键点击Windows徽标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。

如果上述更新方式失败，建议访问Microsoft官网下载最新版本并重新安装：

https://www.microsoft.com/en-us/edge

• 临时缓解措施：

如果相关用户暂时无法升级，请避免使用Google Chrome与Microsoft Edge浏览网页，建议换用Firefox、IE等其他不受该漏洞影响的浏览器。同时，应避免打开任何可疑、陌生的网站，特别是谨慎点击陌生电子邮件中包含的超链接。

疫情肆虐，战“疫”有我，嘉诚安全在行动！

疫情期间，嘉诚公司网络安全事业部为客户提供7*24h实时安全监测和防护服务，对政府、医疗、金融等行业疫情一线的客户进行重点监测，及时推送安全风险提示信息及安全加固整改建议，重点保障客户应急指挥系统、视频会议系统、即时通讯等系统的有效运行，嘉诚公司与客户共同作战，网络安全事业部全员在岗，采用弹性工作制的形式，为广大疫情一线用户提供安全应急及安全咨询服务。

欢迎致电：400-004-1995、13756909388、18626682470。

原文始发于微信公众号（嘉诚安全）：V8类型混淆漏洞安全通告