今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day。不过这次并不像之前那样由谷歌内部团队发现,而是源自匿名人士。
从变更日志来看,这两枚 0day 是 CVE-2020-16013 和 CVE-2020-16017,均被谷歌评级为“高危”漏洞。目前它们的漏洞详情并未公开。谷歌指出,这两个漏洞已遭在野利用。其中,CVE-2020-16013 是 “V8 中的不当实现”问题。V8 是负责处理 JavaScript 代码的 Chrome 组件。该漏洞可导致远程攻击者创建特殊构造的网页,诱骗受害者访问该网页,进一步攻陷系统。CVE-2020-16017 是位于 Site Isolation 中的“释放后使用”内存损坏漏洞。Site Isolation 是隔离各站点数据的 Chrome 组件。远程攻击者可创建特殊构造的网页并诱骗受害者访问,触发释放后错误并在目标系统上执行任意代码。如遭成功利用,该漏洞可导致攻击者攻陷受影响系统。目前尚不清楚这两个 0day 是否已被当作利用链组合利用还是分开利用。CVE-202-16013 在本周二报告,CVE-2020-16017 在今天早些时候报告。此前,谷歌修复的其它三个 0day 是 CVE-2020-15999、CVE-2020-16009 和 CVE-2020-16010。多数 0day 通常被用于攻击少量精选目标,因此多数用户无需恐慌。虽然目前尚不清楚这两个 0day 对普通用户的危险有多大,但仍然建议 Chrome 用户通过该浏览器的内置更新功能(Chrome 目录 → Help 选项 → 关于 Google Chrome 部分)尽快更新至最新版本 v86.0.4240.198。
https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~