獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝

SLLAQZX發表於2021-01-12

最近,在360安全大腦的強勢賦能下,360 Alpha Lab連續為谷歌Chrome發現四枚“高危”級別漏洞:分別為Chrome拖拽模組中的UAF(釋放後使用)漏洞CVE-2021-21107)、Chrome媒體元件中的UAF(釋放後使用)漏洞CVE-2021-21108)、Chrome支付模組中的UAF(釋放後使用)漏洞CVE-2021-21109)、Chrome安全瀏覽模組中的UAF(釋放後使用)漏洞CVE-2021-21115

 

發現上述漏洞後,360 Alpha Lab第一時間向谷歌Chrome官方報告,並協助其順利修復相關漏洞。日前,谷歌釋出補丁更新公告,公開致謝360政企安全集團360 Alpha Lab實驗室研究人員,對此次漏洞提報及修復過程中給予的幫助。

獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝

圖:谷歌Chrome官方致謝

 

四大“沙箱外漏洞”,直擊Chrome主程式

 

此次,360 Alpha Lab連續發現4個Chrome漏洞均為瀏覽器主程式程式碼中的漏洞。由於上述4個漏洞均位於瀏覽器沙箱外因而可被攻擊者用於突破瀏覽器沙箱限制,進而完全控制使用者瀏覽器,安全威脅異常嚴峻。

 

最為嚴重的是CVE-2021-21107漏洞。該漏洞可在無額外互動下觸發,使用者一旦訪問了攻擊者構造的惡意頁面,攻擊者便可能悄無聲息地在使用者系統中執行任意程式碼,獲取使用者敏感資料,最嚴重甚至可能接管整個系統

 

另外,還需要注意的是CVE-2021-21108漏洞。該漏洞出現在Chrome媒體流處理模組中,是一處處理標籤頁監聽功能時造成的UAF問題,利用漏洞同樣可劫持程式碼控制流,進而獲取瀏覽器沙箱外許可權,使攻擊者執行部署惡意程式碼,危及使用者個人乃至企業資訊保安。

 

360安全瀏覽器:更安全的企業辦公體驗

 

數字化辦公時代,瀏覽器已逐漸成為辦公場景的主要“入口”承載著企業協同辦公、工單管理、客戶管理等系統的執行。但隨著近幾年瀏覽器漏洞數量的攀升,讓瀏覽器漏洞成為了企業辦公場景下,隨時可能洞穿企業內網,威脅企業數字資產安全的存在。360安全瀏覽器從2007年釋出第一款至今經過十多年技術沉澱,已經形成良性閉環的漏洞修復體系,很好的保障了產品的穩定性、安全性的平衡。跨平臺支援Windows、macOS,全面相容包括龍芯、飛騰、鯤鵬、兆芯、海光等國產CPU,以及UOS、麒麟、中科方德、紅旗、普華等的國產作業系統。

 

相比於傳統瀏覽器,360安全瀏覽器兼集中管控、企業資料防護、安全大腦賦能、跨平臺適配、商用密碼演算法支援、應用相容等六大優勢於一身。尤其是針對企業場景注入360安全大腦的核心能力,為終端安全、通訊安全、上網安全、行為安全、資料安全等多個維度提供防護機制,並將業務相關的安全策略開放給管理員統一管理,提升辦公場景中的整體安保能力。

獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝

廣大政企多端使用者,可前往https://browser.360.cn/se/ver/ent.html?src=b.360.cn或直接掃描下方二維碼註冊預約,詳情可透過400-0309-360諮詢瞭解。

獨家發現Chrome四大“高危”漏洞,360再獲谷歌官方致謝

相關文章