Google推出Chrome更新, 修復多個(gè)漏洞包括一個(gè)零日漏洞
2020-11-04 作者:林德琛 來(lái)源:超能網(wǎng) 閱讀:
次
Google今天針對Windows、Mac以及Linux系統發(fā)布了Chrome 86.0.4240. 183更新。這次的更新可以解決不少的安全性問(wèn)題,包括一個(gè)已經(jīng)被人利用,可以讓攻擊者執行任意代碼的零日漏洞。
這個(gè)零日漏洞CVE代碼為CVE-2020-16009,是由Google威脅分析組的Clement Lecigne以及Google project Zero的Samuel Groß在上月29日發(fā)現的。這個(gè)漏洞是由V8的不當執行而引起的,V8是Google的一款開(kāi)源及基于C++而成的高性能WebAssembly及JavaScript引擎。
盡管Google表示收到了關(guān)于CVE-2020-16009被人利用以及攻擊的報告,但是他們并沒(méi)有提供關(guān)于這些攻擊的詳細資料:
“在大多數用戶(hù)都還沒(méi)升級到最新版本前,對于漏洞的詳細信息以及連接的訪(fǎng)問(wèn)會(huì )受到限制。如果這個(gè)漏洞也存在于第三方庫中,而其他項目需要依靠這個(gè)庫來(lái)運行的話(huà),我們也會(huì )保留上述的限制措施。”
CVE-2020-16009是自上兩周以來(lái)第二個(gè)被修補的Chrome零日漏洞,另一個(gè)是在FreeType文本渲染庫中的堆緩沖區溢出零日漏洞。而上個(gè)星期,Google Project Zero團隊也公布了一個(gè)已被利用的Windows內核提權零日漏洞CVE-2020-17087。
除此之外,Chrome 86.0.4240. 183版也修補了幾個(gè)其他的漏洞,包括一個(gè)在安卓版Chrome上已經(jīng)有被利用的沙盒逃逸漏洞CVE-2020-16010、釋放后利用漏洞CVE-2020-16004、ANGLE策略執行缺失漏洞CVE-2020-16005、另一個(gè)V8執行不當漏洞CVE-2020-16007、WebRTC緩沖區溢出漏洞CVE-2020-16008以及Windows UI內堆緩沖區溢出(Heap buffer overflow)漏洞CVE-2020-16011。
相關(guān)文章