獨家發現Chrome四大“高危”漏洞，360再獲谷歌官方致謝

最近，在360安全大腦的強勢賦能下，360 Alpha Lab連續為谷歌Chrome發現四枚“高危”級別漏洞：分別為Chrome拖拽模組中的UAF(釋放後使用)漏洞（CVE-2021-21107）、Chrome媒體元件中的UAF(釋放後使用)漏洞（CVE-2021-21108）、Chrome支付模組中的UAF(釋放後使用)漏洞（CVE-2021-21109）、Chrome安全瀏覽模組中的UAF(釋放後使用)漏洞（CVE-2021-21115）。

發現上述漏洞後，360 Alpha Lab第一時間向谷歌Chrome官方報告，並協助其順利修復相關漏洞。日前，谷歌釋出補丁更新公告，並公開致謝360政企安全集團360 Alpha Lab實驗室研究人員，對此次漏洞提報及修復過程中給予的幫助。

圖：谷歌Chrome官方致謝

四大“沙箱外漏洞”，直擊Chrome主程式

此次，360 Alpha Lab連續發現4個Chrome漏洞，均為瀏覽器主程式程式碼中的漏洞。由於上述4個漏洞均位於瀏覽器沙箱外，因而可被攻擊者用於突破瀏覽器沙箱限制，進而完全控制使用者瀏覽器，安全威脅異常嚴峻。

最為嚴重的是CVE-2021-21107漏洞。該漏洞可在無額外互動下觸發，使用者一旦訪問了攻擊者構造的惡意頁面，攻擊者便可能悄無聲息地在使用者系統中執行任意程式碼，獲取使用者敏感資料，最嚴重甚至可能接管整個系統。

另外，還需要注意的是CVE-2021-21108漏洞。該漏洞出現在Chrome媒體流處理模組中，是一處處理標籤頁監聽功能時造成的UAF問題，利用該漏洞同樣可劫持程式碼控制流，進而獲取瀏覽器沙箱外許可權，使攻擊者執行部署惡意程式碼，危及使用者個人乃至企業資訊保安。

360安全瀏覽器：更安全的企業辦公體驗

數字化辦公時代，瀏覽器已逐漸成為辦公場景的主要“入口”，承載著企業協同辦公、工單管理、客戶管理等系統的執行。但隨著近幾年瀏覽器漏洞數量的攀升，讓瀏覽器漏洞成為了企業辦公場景下，隨時可能洞穿企業內網，威脅企業數字資產安全的存在。360安全瀏覽器從2007年釋出第一款至今，經過十多年技術沉澱，已經形成良性閉環的漏洞修復體系，很好的保障了產品的穩定性、安全性的平衡。跨平臺支援Windows、macOS，全面相容包括龍芯、飛騰、鯤鵬、兆芯、海光等國產CPU，以及UOS、麒麟、中科方德、紅旗、普華等的國產作業系統。

相比於傳統瀏覽器，360安全瀏覽器兼集中管控、企業資料防護、安全大腦賦能、跨平臺適配、商用密碼演算法支援、應用相容等六大優勢於一身。尤其是針對企業場景注入360安全大腦的核心能力，為終端安全、通訊安全、上網安全、行為安全、資料安全等多個維度提供防護機制，並將業務相關的安全策略開放給管理員統一管理，提升辦公場景中的整體安保能力。

廣大政企多端使用者，可前往https://browser.360.cn/se/ver/ent.html?src=b.360.cn或直接掃描下方二維碼註冊預約，詳情可透過400-0309-360諮詢瞭解。