谷歌在本周二的公告中披露了 Chrome 瀏覽器五個高度嚴重的漏洞。根據(jù)與應用程序相關的特權,攻擊者可以查看,更改或刪除數(shù)據(jù) 。據(jù)谷歌稱,成功利用其中最嚴重的漏洞可能使攻擊者能夠在瀏覽器的上下文中執(zhí)行任意代碼。
以下是漏洞詳情:
漏洞詳情
1. CVE-2020-15960 嚴重程度:高
該堆緩沖區(qū)溢出(越界讀?。┞┒纯赡茉试S遠程攻擊者通過精心制作的 HTML 頁面執(zhí)行超出范圍的內(nèi)存訪問。成功利用漏洞可能使攻擊者能夠在瀏覽器的上下文中執(zhí)行任意代碼。如果將此應用程序配置為在系統(tǒng)上具有較少的用戶權限,則與配置了管理權限的情況相比,利用其中最嚴重的漏洞的影響可能較小。
2.CVE-2020-15961,CVE-2020-15963 嚴重程度:高
攻擊者可以誘使用戶安裝惡意擴展程序,使其有可能通過精心制作的 Chrome 擴展程序執(zhí)行沙箱逃逸。(沙箱原理是將程序運行在一個隔離的空間內(nèi),且在沙箱中運行的程序可讀不可寫,從而避免程序對電腦的其它程序和數(shù)據(jù)造成永久性的修改或造成破壞。沙箱逃逸就是惡意程序代碼突破沙箱限制對電腦進行破壞)
3.CVE-2020-15962 嚴重程度:高
該漏洞可能允許遠程攻擊者通過精心制作的 HTML 頁面執(zhí)行越界內(nèi)存訪問。
4.CVE-2020-15965 嚴重程度:高
Google Chrome 和 Chromium Web 瀏覽器開發(fā)的開源 JavaScript 引擎 V8 中存在越界寫入漏洞。該漏洞可能使遠程攻擊者有可能通過精心制作的 HTML 頁面執(zhí)行越界內(nèi)存訪問。
谷歌表示,目前尚無有關這些漏洞在外被利用的報道。谷歌敦促易受攻擊的 Chrome 用戶立即進行安全更新,并提醒用戶 “不要訪問不受信任的網(wǎng)站或跟蹤未知或不受信任的來源提供的鏈接。”
受影響產(chǎn)品和版本
Google Chrome 85.0.4183.121 之前的版本會受到影響
解決方案
Windows,Mac 和 Linux 用戶升級 Chrome 85.0.4183.121 版本可修復上述漏洞
查看更多漏洞信息 以及升級請訪問官網(wǎng):
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html