谷歌再次修复已遭利用的两枚高危0day (CVE-2020-16009/16010)
今天,谷歌为 Chrome Web 浏览器发布安全更新,修复了10个安全漏洞,其中包括两个目前已遭利用的高危0day:CVE-2020-16009 和 CVE-2020-16010。
该漏洞是由谷歌负责追踪威胁行动者及其活动的威胁分析团队 (TAG) 发现的,谷歌对其描述为“V8 中的不当实现“。另外,谷歌在安全更新公告中表示,”谷歌已发现该漏洞遭在野利用的报告“。
一般情况下,谷歌不会公开0day及利用0day 组织的详情,以便用户能够安装更新并阻止其它威胁行动者开发出针对0day 的 exploit。不过谷歌在今天发布的变更日志中表示,CVE-2020-16009 存在于负责处理 JavaScript 代码的 Chrome 组件 V8 中。
V8 是一款由 Chromium Project 为 Chrome 和 Chromium Web 浏览器开发的开源 JavaScript 引擎。V8 引擎第一版和 Chrome 第一版均出现在2008年9月2日。同时V8 还应用在服务器段,如 Couchbase、MongoDB 和 Node.js 中。
按照谷歌的规定,所有漏洞的详情将于漏洞修复14天后公开。
建议 Chrome 用户将浏览器更新至版本 86.0.4240.183 或后续版本。
谷歌 Project Zero 团队的技术主管 Ben Hawkes 刚刚发布消息称,“今天,谷歌又修复了两个已遭在野利用的 0day(由 Project Zero/Google TAG 在上周发现)。CVE-2020-16009 是一个 V8 漏洞,用于远程代码执行;而 CVE-2020-16010 是一个针对安卓版 Chrome 的沙箱逃逸。“
Hawkes 指出,目前 Chrome 尚未发布关于安卓版 Chrome 的安全更新(已发布的是桌面版安全更新)。CVE-2020-16010 仅影响安卓版。
另外,他还指出,CVE-2020-16011 是和 Windows 相关的漏洞,但并未发现它已遭在野利用的证据。
两周内谷歌发现了三个遭利用的 0day。10月20日,谷歌还发布更新,修复了位于 Chrome FreeType 字体渲染库中的一个 0day (CVE-2020-15999)。上周,谷歌表示该 0day 和 Windows 0day (CVE-2020-17087) 均遭利用。CVE-2020-15999 用于在 Chrome 内执行恶意代码,而 Windows 0day 则被用于提升代码权限并攻击底层 Windows OS。预计微软将在本月补丁星期二中修复该 0day。
谷歌本次共修复10个漏洞,其中7个是外部研究员发现的,如下:
编号 | 概述 | 危害等级 | 奖金(美元) | 是否由 谷歌发现? |
CVE-2020-16004 | 用户接口中的释放后使用漏洞 | 高危 | 1.5万 | 否 |
CVE-2020-16005 | ANGLE 中的策略执行不充分漏洞 | 高危 | 1.5万 | 否 |
CVE-2020-16006 | V8 中的实现不当 | 高危 | 5000 | 否 |
CVE-2020-16007 | 安装程序中的数据验证不当 | 高危 | 1000 | 否 |
CVE-2020-16008 | WebRTC 中的栈缓冲溢出 | 高危 | 待定 | 否 |
CVE-2020-16009 | V8 中的实现不当 | 高危 | 无 | 否 |
CVE-2020-16011 | Windows UI 中的堆缓冲溢出 | 高危 | 无 | 否 |
奇安信代码安全实验室帮助谷歌修复高危漏洞,获官方致谢
谷歌修复已遭利用的 0day
https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html
https://en.wikipedia.org/wiki/V8_(JavaScript_engine)
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。