站長資訊網谷歌在本周二的公告中披露了 Chrome 瀏覽器五個高度嚴重的漏洞。根據與應用程序相關的特權,攻擊者可以查看,更改或刪除數據 。據谷歌稱,成功利用其中最嚴重的漏洞可能使攻擊者能夠在瀏覽器的上下文中執行任意代碼。
以下是漏洞詳情:
漏洞詳情
1. CVE-2020-15960 嚴重程度:高
該堆緩沖區溢出(越界讀取)漏洞可能允許遠程攻擊者通過精心制作的 HTML 頁面執行超出范圍的內存訪問。成功利用漏洞可能使攻擊者能夠在瀏覽器的上下文中執行任意代碼。如果將此應用程序配置為在系統上具有較少的用戶權限,則與配置了管理權限的情況相比,利用其中最嚴重的漏洞的影響可能較小。
2.CVE-2020-15961,CVE-2020-15963 嚴重程度:高
攻擊者可以誘使用戶安裝惡意擴展程序,使其有可能通過精心制作的 Chrome 擴展程序執行沙箱逃逸。(沙箱原理是將程序運行在一個隔離的空間內,且在沙箱中運行的程序可讀不可寫,從而避免程序對電腦的其它程序和數據造成永久性的修改或造成破壞。沙箱逃逸就是惡意程序代碼突破沙箱限制對電腦進行破壞)
3.CVE-2020-15962 嚴重程度:高
該漏洞可能允許遠程攻擊者通過精心制作的 HTML 頁面執行越界內存訪問。
4.CVE-2020-15965 嚴重程度:高
Google Chrome 和 Chromium Web 瀏覽器開發的開源 JavaScript 引擎 V8 中存在越界寫入漏洞。該漏洞可能使遠程攻擊者有可能通過精心制作的 HTML 頁面執行越界內存訪問。
谷歌表示,目前尚無有關這些漏洞在外被利用的報道。谷歌敦促易受攻擊的 Chrome 用戶立即進行安全更新,并提醒用戶 “不要訪問不受信任的網站或跟蹤未知或不受信任的來源提供的鏈接。”
受影響產品和版本
Google Chrome 85.0.4183.121 之前的版本會受到影響
解決方案
Windows,Mac 和 Linux 用戶升級 Chrome 85.0.4183.121 版本可修復上述漏洞
查看更多漏洞信息 以及升級請訪問官網:
http://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html
