漏洞背景
4月13日,國外安全研究員發布了Chrome 遠程代碼執行 0Day漏洞的PoC詳情。攻擊者可利用此漏洞,構造一個惡意的Web頁面,用戶訪問該頁面時,會造成遠程代碼執行。目前Google只針對該漏洞發布了beta測試版Chrome(90.0.4430.70)修復,Chrome正式版( 89.0.4389.114)仍存在該漏洞。不過用戶無需過分擔心,由於Chrome瀏覽器會默認開啟沙盒,可以攔截利用該漏洞發起的攻擊,所以一般用戶不會受到影響。
漏洞詳情及影響范圍
Chrome 遠程代碼執行漏洞
漏洞等級:嚴重
Chrome在關閉沙盒(默認開啟)的情況下,打開特定頁面會造成遠程代碼執行。
Chrome 89.0.4389.114 及以下版本
使用Chrome內核的其他瀏覽器,也會受到漏洞影響。
漏洞復現
POC:https://github.com/r4j0x00/exploits/tree/master/chrome-0day
需要關閉chrome的沙盒功能才能正常利用,但也可能通過結合其他chrome漏洞實現繞過
修復
由於Chrome瀏覽器會默認開啟沙盒,可以攔截利用該漏洞發起的攻擊,所以一般用戶不會受到影響。
用戶也可以暫時將Chrome瀏覽器升級到已經修復的beta測試版(90.0.4430.70)