谷歌在本周二的公告中披露了 Chrome 瀏覽器五個(gè)高度嚴重的漏洞。根據與應用程序相關(guān)的特權,攻擊者可以查看,更改或刪除數據 。據谷歌稱(chēng),成功利用其中最嚴重的漏洞可能使攻擊者能夠在瀏覽器的上下文中執行任意代碼。
以下是漏洞詳情:
漏洞詳情
1. CVE-2020-15960 嚴重程度:高
該堆緩沖區溢出(越界讀?。┞┒纯赡茉试S遠程攻擊者通過(guò)精心制作的 HTML 頁(yè)面執行超出范圍的內存訪(fǎng)問(wèn)。成功利用漏洞可能使攻擊者能夠在瀏覽器的上下文中執行任意代碼。如果將此應用程序配置為在系統上具有較少的用戶(hù)權限,則與配置了管理權限的情況相比,利用其中最嚴重的漏洞的影響可能較小。
2.CVE-2020-15961,CVE-2020-15963 嚴重程度:高
攻擊者可以誘使用戶(hù)安裝惡意擴展程序,使其有可能通過(guò)精心制作的 Chrome 擴展程序執行沙箱逃逸。(沙箱原理是將程序運行在一個(gè)隔離的空間內,且在沙箱中運行的程序可讀不可寫(xiě),從而避免程序對電腦的其它程序和數據造成永久性的修改或造成破壞。沙箱逃逸就是惡意程序代碼突破沙箱限制對電腦進(jìn)行破壞)
3.CVE-2020-15962 嚴重程度:高
該漏洞可能允許遠程攻擊者通過(guò)精心制作的 HTML 頁(yè)面執行越界內存訪(fǎng)問(wèn)。
4.CVE-2020-15965 嚴重程度:高
Google Chrome 和 Chromium Web 瀏覽器開(kāi)發(fā)的開(kāi)源 JavaScript 引擎 V8 中存在越界寫(xiě)入漏洞。該漏洞可能使遠程攻擊者有可能通過(guò)精心制作的 HTML 頁(yè)面執行越界內存訪(fǎng)問(wèn)。
谷歌表示,目前尚無(wú)有關(guān)這些漏洞在外被利用的報道。谷歌敦促易受攻擊的 Chrome 用戶(hù)立即進(jìn)行安全更新,并提醒用戶(hù) “不要訪(fǎng)問(wèn)不受信任的網(wǎng)站或跟蹤未知或不受信任的來(lái)源提供的鏈接。”
受影響產(chǎn)品和版本
Google Chrome 85.0.4183.121 之前的版本會(huì )受到影響
解決方案
Windows,Mac 和 Linux 用戶(hù)升級 Chrome 85.0.4183.121 版本可修復上述漏洞
查看更多漏洞信息 以及升級請訪(fǎng)問(wèn)官網(wǎng):
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html