Chrome 紧急修复4个神秘的高危漏洞，并为其中2个颁发赏金4万美元

Wang Wei 代码卫士 2022-11-01

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

谷歌为 Chrome web 浏览器发布紧急软件更新，督促 Windows、Mac 和 Linux 用户立即更新至最新版本。

本周三，Chrome 77.0.3865.90 版本开始向全球用户推送，该版本中含有1个严重漏洞和3个高危漏洞的补丁，其中最严重的漏洞可导致远程攻击者完全控制受影响系统。

谷歌决定先不公开这四个漏洞的具体详情，以阻止黑客利用并给用户留下充足的更新时间。

截至目前，Chrome 安全团队仅披露称，所有的四个漏洞均未释放后使用问题，存在于 Chrome 浏览器的不同组件中，其中最严重的可导致远程代码执行攻击。

释放后使用漏洞是内存损坏类问题，可导致内存中的数据损坏或修改，导致低权限用户在受影响系统或软件上提升权限。

Chrome 77.0.3865.90 已修复漏洞

这四个漏洞如下：

谷歌已颁发4万美元，奖励 Semmle 安全研究团队的 Man Yue Mo 发现的其中两个漏洞（每个漏洞的赏金均为2万美元）。其余两个漏洞的赏金尚在决定中。

攻击者如能成功利用这些漏洞，则只需要诱骗受害者打开或者重定向至受影响 Chrome 浏览器的特殊构造的网页即可执行任意代码，无需任何进一步的用户交互。

从之前的披露情况来看，根据相关应用程序的权限情况，漏洞还可导致敏感信息遭泄露、安全限制遭绕过、实施越权操作并引发拒绝服务条件等后果。

尽管谷歌已经自动向用户通知最新版本的存在，但仍然建议用户到“Help-About Google Chrome”目录中触发更新进程。

除此之外，还建议用户尽可能地以非权限用户的身份运行系统上的所有软件，以降低任何 0day 漏洞遭利用带来的影响。

如谷歌发布漏洞的技术详情，我们将及时跟进。

原文链接

https://thehackernews.com/2019/09/google-chrome-update.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。