今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day。不过这次并不像之前那样由谷歌内部团队发现,而是源自匿名人士。

从更新日志来看,这两枚 0day 是 CVE-2020-16013 和 CVE-2020-16017,均被谷歌评级为“高危”漏洞。目前它们的漏洞详情并未公开。谷歌指出,这两个漏洞已遭在野利用。

其中,CVE-2020-16013 是 “V8 中的不当实现”问题。V8 是负责处理 JavaScript 代码的 Chrome 组件。该漏洞可导致远程攻击者创建特殊构造的网页,诱骗受害者访问该网页,进一步攻陷系统。CVE-2020-16017 是位于 Site Isolation 中的“释放后使用”内存损坏漏洞。Site Isolation 是隔离各站点数据的 Chrome 组件。远程攻击者可创建特殊构造的网页并诱骗受害者访问,触发释放后错误并在目标系统上执行任意代码。如遭成功利用,该漏洞可导致攻击者攻陷受影响系统。

目前尚不清楚这两个 0day 是否已被当作利用链组合利用还是分开利用。CVE-202-16013 在本周二报告,CVE-2020-16017 在今天早些时候报告。此前,谷歌修复的其它三个 0day 是 CVE-2020-15999、CVE-2020-16009 和 CVE-2020-16010。

多数 0day 通常被用于攻击少量精选目标,因此多数用户无需恐慌。

虽然目前尚不清楚这两个 0day 对普通用户的危险有多大,但仍然建议 Chrome 用户通过该浏览器的内置更新功能(Chrome 目录 → Help 选项 → 关于 Google Chrome 部分)尽快更新至最新版本 v86.0.4240.198。

原文链接

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/

https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。