Google已發(fā)布了更新程序,以解決Chrome瀏覽器中的多個(gè)漏洞�,其中包括兩個(gè)已被積極利用的漏洞�����。
適用于Windows�,macOS和Linux的Chrome 86.0.4240.183已通過(guò)帶有補(bǔ)丁的補(bǔ)丁程序推入穩(wěn)定的渠道�,該補(bǔ)丁程序總共有七個(gè)漏洞,所有漏洞的嚴(yán)重性等級(jí)都很高�����。
這些錯(cuò)誤包括CVE-2020-16004(在用戶界面中免費(fèi)使用)����,CVE-2020-16005(ANGLE中的策略實(shí)施不足)���,CVE-2020-16006(在V8中不適當(dāng)?shù)膶?shí)現(xiàn))�����,CVE-2020-16007(數(shù)據(jù)不足)安裝程序中的驗(yàn)證)�,CVE-2020-16008(WebRTC中的堆棧緩沖區(qū)溢出)和CVE-2020-16011(Windows中的UI中的堆緩沖區(qū)溢出)�����。
漏洞的第七個(gè)漏洞是CVE-2020-16009����,在V8 java script引擎中被描述為不合適的實(shí)現(xiàn)。谷歌警告說(shuō),該漏洞的利用已經(jīng)在野外存在����。
由Google威脅分析小組的Clement Lecigne和Project Zero小組的SamuelGroß發(fā)現(xiàn)的零日漏洞可以通過(guò)精心制作的HTML頁(yè)面利用,以破壞內(nèi)存并最終實(shí)現(xiàn)任意代碼執(zhí)行�。
要利用此漏洞��,攻擊者必須誘使受害者訪問(wèn)惡意頁(yè)面�����。實(shí)際上��,所有這些錯(cuò)誤都可以通過(guò)使用戶訪問(wèn)惡意網(wǎng)頁(yè)而被利用來(lái)執(zhí)行代碼或破壞系統(tǒng)��。
不到兩周前,谷歌發(fā)布了針對(duì)Chrome中其他高嚴(yán)重性漏洞的補(bǔ)丁程序�����,其中包括CVE-2020-15999�����,這是FreeType中積極利用的零日漏洞�。
本周���,谷歌還宣布了針對(duì)CVE-2020-16010的補(bǔ)丁的發(fā)布,CVE-2020-16010是一個(gè)嚴(yán)重性高的漏洞��,會(huì)影響Android的Chrome瀏覽器���,該補(bǔ)丁也已被廣泛使用����。
Google Project Zero的Maddie Stone�����,Mark Brand和Sergei Glazunov發(fā)現(xiàn)了這個(gè)問(wèn)題���,即Android UI中的堆緩沖區(qū)溢出�����。適用于Android的Chrome 86.0.4240.185解決了該漏洞�。
Google Project Zero的Ben Hawkes在Twitter上指出���,這兩個(gè)漏洞都是在上周發(fā)現(xiàn)的。
谷歌表示����,它向發(fā)現(xiàn)新解決的漏洞的研究人員獎(jiǎng)勵(lì)了36,000美元的錯(cuò)誤賞金。但是�,該公司未提供有關(guān)CVE-2020-16008的付款金額的詳細(xì)信息�����,并指出���,這兩個(gè)被積極利用的漏洞沒(méi)有得到任何賞金。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
