Chrome再曝0day!
4月13日,一名印度安全研究員公佈了一個遠端程式碼執行的0day漏洞,攻擊者可通過構造特製web頁面並誘導受害者訪問來利用此漏洞獲得遠端程式碼執行。
該漏洞存在於 V8 JavaScript 引擎中,在基於Chromium的瀏覽器中載入PoC HTML檔案及其相應的JavaScript檔案時,它將利用此漏洞啟動Windows計算器(calc.exe)程式。
此漏洞一出,立刻引起大家的恐慌和注意。
第二天,也就是4月14日,緊接著一個名為frust的安全人員在twitter上公佈了chrome的另一個0day漏洞,併發布PoC,該漏洞會導致在GoogleChrome89.0.4389.128和MicrosoftEdge 89.0.774.76上啟動記事本,這是這兩種瀏覽器的最新版本。
據悉該漏洞影響到當前版本的谷歌Chrome、Edge以及其他可能基於Chromium的瀏覽器。
值得注意的是由於Chrome自身擁有沙箱保護,這兩個漏洞在沙箱內無法被成功利用,一般情況下,仍然需要配合提權或沙箱逃逸漏洞才行達到沙箱外程式碼執行的目的。
但是仍然有不少基於v8等元件的軟體,尤其是未開啟沙箱保護的軟體,面臨著潛在的安全風險。
因此敦促各大軟體廠商、終端使用者、監管機構等及時採取更新、防範措施;使用Chrome的使用者需及時更新,使用其他Chrome核心瀏覽器的使用者則需要提高安全意識,防範攻擊。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
相關文章
- Fedora 和 Ubuntu 曝出0day漏洞Ubuntu
- 再現在野0day攻擊--BITTER APT攻擊事件APT事件
- 【最新】Chrome遠端程式碼執行0day分析報告Chrome
- Chrome安全更新發布,修復遭在野利用的0dayChrome
- Oracle WebLogic 曝 0day 漏洞,攻擊者可遠端執行命令OracleWeb
- Windows7RC版曝出首個0day漏洞可致電腦藍屏Windows
- Chrome釋出最新版本,修復一個在野0dayChrome
- 是時候向Chrome說再見了Chrome
- Apache Struts 再曝高危遠端程式碼執行漏洞Apache
- iOS 12.1.2再曝新漏洞,越獄或將重生?iOS
- 蘋果iOS 8.1.3再曝漏洞 老裝置續航下降蘋果iOS
- Edge瀏覽器 再爆0day,可遠端執行程式碼瀏覽器行程
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- Docker再曝安全漏洞,這次是PWD的問題Docker
- iOS 8.2系統再曝漏洞:微博/微信返回鍵失靈iOS
- 全民Type-C 藍魔R10再曝新亮點
- 一加手機再曝隱私洩露事件,你還敢用嗎?事件
- Google+再曝漏洞!5250萬使用者資訊恐洩露Go
- Win10手機預覽版再曝兩項隱秘功能Win10
- iPhone 6再曝應用問題 手寫輸入法錯誤iPhone
- Linux glibc 再曝漏洞:可導致 Linux 軟體劫持Linux
- 蘋果iOS再曝嚴重問題 2.5萬應用程式存在漏洞蘋果iOS
- 注意!SQLite被曝漏洞,Chrome 火狐等數千應用或受影響SQLiteChrome
- Pandownload 開發者被捕;微軟修復 3 個 0day 漏洞;福特、大眾被曝網路安全漏洞微軟
- 蘋果macOS再曝漏洞:輸任意密碼可進App Store首選項蘋果Mac密碼APP
- 三星Galaxy S7再曝絕技:蘋果肯定不支援蘋果
- Chrome最新更新:修復一個0day,請儘快更新至最新版本Chrome
- 4大密碼管理器再曝漏洞,你用的是這個嗎?密碼
- 蘋果iOS 8再曝嚴重漏洞 可導致ios裝置無限重啟蘋果iOS
- vBulletin rce 0day分析
- 獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝Chrome谷歌
- 三星Galaxy S8再曝:將配超強人工智慧和相機人工智慧
- WinRAR(5.21)-0day漏洞-始末分析
- 波音737 Max再曝新軟體問題;《黑客帝國4》取景開拍;小米10首發黑客
- Facebook再曝300萬使用者資料洩露 與性格測試類app密切相關APP
- 屢見不鮮!Facebook再曝隱私事件:100名開發人員竊取使用者資訊事件
- Hacking Team系列 Flash 0Day分析
- Hacking Team 新 Flash 0day分析