|
国外安全研究员发布了Chrome浏览器远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别,攻击者可以利用漏洞构造特别的页面,访问该页面会造成远程代码执行。
1漏洞描述
国外安全研究员发布了Chrome远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。
Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。
该0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版(89.0.4389.114)仍受漏洞影响。
2漏洞等级
严重
3受影响的版本
Chrome <= 89.0.4389.114
使用chrome内核的其他浏览器,也会受到漏洞影响。
4安全版本
Chrome(90.0.4430.70)beta测试版
5漏洞复现与验证
腾讯安全专家已在chrome(89.0.4389.114)上对公开的poc进行验证。
6漏洞修复建议
目前Google只针对该漏洞发布了beta测试版的Chrome(90.0.4430.70)修复,Chrome正式版(89.0.4389.114)仍存在风险。
临时解决方案:
腾讯安全专家建议重要机构用户,可以暂时升级到chrome测试版(90.0.4430.70),或者在沙箱中使用。在攻防演练应用场景,应特别注意防范点击来历不明的URL,避免点击可疑邮件附件,以免中招受害。
其他用户应密切关注版本升级信息,其他使用chrome内核的浏览器也受影响。用户可以通过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装浏览器到最新版本。 | 
转播
