安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于Chrome远程代码执行0Day漏洞的安全公告
2021-04-17     (点击: )

大工网安告[2021]011号

一、情况分析

近日Google Chrome浏览器连续爆出多个远程代码执行 0Day漏洞,漏洞为“严重”级别。启用浏览器的sandbox功能,可有效防止利用该漏洞的攻击,但如果关闭sandbox功能或sandbox被绕过,则该漏洞很可能被攻击者利用。互联网中已经有PoC发布,攻击者利用此漏洞,构造一个恶意的web页面,用户关闭sandbox后,通过浏览器访问该页面时,就会造成远程代码执行。该漏洞与Google浏览器内核Chromium的V8 JavaScript引擎相关,因此大量采用Chromium内核的浏览器可能都会受此漏洞影响。目前最新版本90.0.4430.72的Chrome浏览器仅修复了部分漏洞,仍存在被攻击的风险,其他浏览器还未发布相关安全更新。

二、影响范围

Chrome90.0.4430.72及以下版本,其他基于Chromium内核 的浏览器如Microsoft Edge、Opera等以及国产浏览器360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等都可能受此漏洞影响。

三、处置建议

建议校内Chrome用户及时更新到官方最新版本,密切关注版本升级信息,并且不要随意关闭sandox功能,浏览器默认是打开该功能的。同时,注意不要点击来历不明的URL,避免点击可疑邮件附件,也可以使用Firefox等其他非Chromium内核浏览器临时代替相关受影响的浏览器。


附:参考链接:

https://www.freebuf.com/vuls/269752.html

https://v2.s.tencent.com/research/report/42