4月13日,安全研究人员Rajvardhan Agarwal在Twitter上“不小心”发布了一个有效的Chromium(Chrome的开源代码项目,微软的Edge也基于该项目)概念验证(PoC)零日漏洞,该漏洞是基于Chromium的浏览器中V8 JavaScript引擎的远程代码执行漏洞,漏洞严重性评分高达9.8。
漏洞影响Chrome最新正式版(89.0.4389.114),攻击者可通过构造特殊的web页面,诱导受害者访问,从而达到远程代码执行的目的。鉴于该漏洞目前处于在野0day漏洞状态,强烈建议客户尽快采取临时解决方案以避免受此漏洞影响。
奇安信CERT第一时间复现此漏洞,复现截图如下:
处置建议:
1. 慎重打开来源不明的文件或网页链接。
2. 暂时停止使用V8相关引擎的浏览器,如Chrome,换Firefox等浏览器。
参考资料:
https://mp.weixin.qq.com/s/ibxzH9IPZfZSrh5Ey_Egcw
https://mp.weixin.qq.com/s/a4a7Q23k061yG8FM79itKg
