威胁研究正文

Chrome 远程代码执行0Day漏洞通告——POC已公开

2021-04-13 03:53:32

国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC(概念验证代码)详情,漏洞等级“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。

漏洞描述:

国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC(概念验证代码)详情,漏洞等级“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。

 

Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。

 

0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍受漏洞影响。

 

漏洞等级:高危

 

受影响的版本:

Chrome <= 89.0.4389.114

 

漏洞修复建议:

目前Google只针对该漏洞发布了beta测试版的Chrome(90.0.4430.70)修复

Chrome正式版( 89.0.4389.114)仍存在风险。


漏洞复现与验证:

腾讯安全专家已在chrome( 89.0.4389.114)上对公开的poc进行验证。

{xunruicms_img_title}

临时解决方案:

信息安全特别重要的机构客户,可以在沙箱中使用chrome浏览器。腾讯安全专家建议重要机构用户,可以暂时升级到chrome测试版(90.0.4430.70),或者在沙箱中使用。在攻防演练期间,应特别注意防范点击来历不明的URL,避免中招受害。因漏洞POC已公开,很可能在攻防演练中被使用。

 

其他用户应密切关注版本升级信息,用户可以通过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装到最新版本。

 

参考链接:

https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



相关产品

在线咨询