4月13日,国外安全研究员发布了Chrome xwenw.com/tag/%e8%bf%9c%e7%a8%8b" target="_blank">远程代码执行 0Day漏洞的PoC详情。攻击者可利用此漏洞,构造一个恶意的Web页面,用户访问该页面时,会造成远程代码执行。目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍存在该漏洞。不过用户无需过分担心,由于Chrome浏览器会默认开启沙盒,可以拦截利用该漏洞发起的攻击,所以一般用户不会受到影响。
1.漏洞详情
Chrome 远程代码执行漏洞
漏洞等级:严重
Chrome在关闭沙盒(默认开启)的情况下,打开特定页面会造成远程代码执行。
已对公开的漏洞进行验证
2.影响范围
Chrome 89.0.4389.114 及以下版本
使用Chrome内核的其他浏览器,也会受到漏洞影响。
3.修复建议
由于Chrome浏览器会默认开启沙盒,可以拦截利用该漏洞发起的攻击,所以一般用户不会受到影响。
用户也可以暂时将Chrome浏览器升级到已经修复的beta测试版(90.0.4430.70)
经测试,在默认开启沙盒模式的情况下,chrome和Edge均无法利用漏洞进行远程代码执行
*测试代码下载地址:
https://cloud.189.cn/t/uYZVb2F7ruAf
*chrome关闭沙盒:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-sandbox
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)