公司动态 行业动态 安全通告

Google Chrome远程代码执行 0day 漏洞

日期:2021-04-14 11:25:57 投稿人:

4月13日,安全研究人员Rajvardhan Agarwal在Twitter上“不小心”发布了一个有效的Chromium(Chrome的开源代码项目,微软的Edge也基于该项目)概念验证(PoC)零日漏洞,该漏洞是基于Chromium的浏览器中V8 JavaScript引擎的远程代码执行漏洞,漏洞严重性评分高达9.8。

图片111.png



  漏洞影响Chrome最新正式版(89.0.4389.114),攻击者可通过构造特殊的web页面,诱导受害者访问,从而达到远程代码执行的目的。鉴于该漏洞目前处于在野0day漏洞状态,强烈建议客户尽快采取临时解决方案以避免受此漏洞影响。


奇安信CERT第一时间复现此漏洞,复现截图如下:

640wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1.jpg




处置建议:

1. 慎重打开来源不明的文件或网页链接。

2. 暂时停止使用V8相关引擎的浏览器,如Chrome,换Firefox等浏览器。


参考资料:

https://mp.weixin.qq.com/s/ibxzH9IPZfZSrh5Ey_Egcw

https://mp.weixin.qq.com/s/a4a7Q23k061yG8FM79itKg



电话:400-133-0100
地址:广州市广州大学城广东工业大学理学馆201-207室

微信: