注意了!Chrome浏览器最新高危漏洞曝光

最新推荐文章于 2024-04-15 06:20:08 发布
最新推荐文章于 2024-04-15 06:20:08 发布
阅读量329 收藏
点赞数 1
文章标签: 信息安全 编程语言 java 人工智能 大数据
原文链接:https://j.youzan.com/-2-ESY
版权

????????关注后回复 “进群” ,拉你进程序员交流群????????

来源丨扩展迷EXTFANS

4月14日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码执行漏洞,编号为CNVD-2021-27989。

据悉,黑客攻击者利用该漏洞,可在未授权的情况下远程执行代码。

目前,漏洞细节已公开,Chrome官方尚未发布新版本修复该漏洞。

一、漏洞情况分析

2021年4月14日,国家信息安全漏洞共享平台收录了Google Chrome远程代码执行漏洞,CNVD对该漏洞的综合评级为“高危”。

未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。

沙盒是计算机领域的一种虚拟技术,多用于计算机安全防控。

它可以通过重定向专技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,就可以先让它在沙盒中运行。

如果用户在沙箱中运行的下载包含恶意代码,则将被浏览器禁止进一步运行,这样它就无法访问或感染用户的计算机系统了。

正常情况下,Chrome浏览器是默认开启沙盒保护模式的。

二、漏洞影响范围

漏洞影响的产品版本包括:

Google Chrome < = 89.0.4389.114。

也就是说,截止目前所有版本的Chrome浏览器都存在风险。

三、漏洞处置建议

截止撰稿时,Google公司尚未发布新版本或补丁包修复漏洞,CNVD建议用户使用Chrome浏览器时不关闭默认沙盒模式,同时谨慎访问来源不明的网页链接或文件。

值得一提的是,北京时间4月15日,谷歌向全平台用户推送Chrome89正式版。

但据扩展迷了解,在本次官方更新的37个已修复漏洞中,并未包含本次CNVD发现的CNVD-2021-27989。

因此即使大家升级到了Chrome90,仍需要注意日常防护。

资料显示,国家信息安全漏洞共享平台是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心)联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

自2009年成立以来,CNVD平台已成为最具社会影响力的国家级漏洞库,在维护良好漏洞生态秩序方面发挥了重要作用。

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

点击????卡片,关注后回复【面试题】即可获取

在看点这里好文分享给更多人↓↓

程序员大咖
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
google chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位)
09-15
chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome...
谷歌浏览器任意文件访问漏洞(CVE-2023-4357)复现
fly夏天的博客
11-21 1449
谷歌浏览器任意文件访问漏洞(CVE-2023-4357)复现
漏洞发展趋势漏洞利用情况
m0_73803866的博客
10-27 367
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离 环境下的内网中,就可能存在没有及时更新补丁或版本的核心系统、数据库、系统和软件,攻击者一旦 进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。从日志中可以看到,攻击事件的发生不仅会用到近几年的漏洞,像 EternalBlue、Tomcat 远程代码 执行这样好用的 Nday 漏洞也是黑客手中的利器,一些历史悠久的 SQL注入、拒绝服务类型的漏洞,由 于攻击门槛低,效果显著,攻击者依然在大量使用,使用到的漏洞按年份分布情况如图 2.3 所示。
Google Chrome RCE漏洞 CVE-2020-6507 和 CVE-2024-0517 流程分析
m0_61072747的博客
04-03 718
有一个小问题,我直接使用谷歌浏览器打开这个exp.html时是没有反应的包括默认开打浏览器都不行,需要在谷歌浏览器的地址上输入exp地址才可以执行。所以这个漏洞的一个行为是值得浅析一下的,下面是我的大概一个理解。其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实现的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
CVE-2018-8174 IE浏览器远程代码执行漏洞
qq_44484541的博客
11-01 337
漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该0day漏洞进行了修复,并将其命名为CVE-2018-8174。ps:CVE-2018-8174.py使用的python2版本的编写规则,如果使用python3会报错。4、将exploit.html部署到apache2中并启动该服务。7、Windows7中的IE浏览器打开设置的网址。5、进入msf渗透框架中选择相应的模块进行攻击。1、在kali中下载该漏洞攻击模块。
Chrome浏览器代码执行0day漏洞
NicolasZQ的博客
12-14 4447
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD=
chrome浏览器最新稳定正式版50
05-18
chrome浏览器最新稳定正式版50
Google Chrome浏览器最新版71.0(2019年)
01-14
CSDN下载频道是Google Chrome浏览器官方指定下载站点,可以确保您下载到免费的最新版本无插件绿色软件。 免费体验高效办公还有积分相送你还不快来试试! 注意:已经安装过Chrome浏览器的用户必须要先卸载浏览器和...
chrome浏览器最新
09-22
谷歌浏览器,是一个由Google(谷歌)公司开发的开放原始码网页浏览器。该浏览器是基于其他开放原始码软件所撰写,包括WebKit和Mozilla,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面
Chrome浏览器最新版本109.0.5414.75-chrome-installer 离线安装包
01-14
109.0.5414.75_chrome_installer_x86 谷歌浏览器最新版本,稳定版32位浏览器,离线安装包
浏览器安全漏洞解析
03-04
浏览器作为用户与网络交互时使用最频繁的窗口,要容纳非常广泛的内容。因此它的自身设计的复杂性是不课避免的,它提供了大量的组件扩展。浏览器漏洞不非一定是缓冲区溢出,包括多种因素,像控件安全问题,脚本权限盘查失误等问题,都给入侵者提供了攻击的机会。
十大常见web漏洞及防范
xiaoganbuaiuk的博客
02-20 1247
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
浏览器逻辑漏洞合集
Sumarua的博客
07-18 1257
浏览器逻辑漏洞合集
Google确认Chrome存在严重漏洞,向20亿用户发出警告:你们需立即更新浏览器
最新发布
2401_84253089的博客
04-15 939
而谷歌的更新提示相对于这个漏洞的严重性来说,就稍微显得有些不痛不痒了,因为大多数用户都不知道不更新的话会带来什么样的严重后果。Sophos称,即使Chrome浏览器的Chromium内核是一个开源项目,但该漏洞本身却是一个秘密。在最初的报告中,受影响的用户表示,他们尝试过多次卸载并重新启动Chrome,但仍然无法解决该问题。不过,从另一方面来说,Google选择不公开漏洞的细节,也是为了避免被潜在的黑客所利用。中已修复了这些漏洞,因此,请大家务必确保你的Chrome浏览器已经是最新的版本。
在野完整Chrome浏览器漏洞利用攻击链分析
xnxqwzy的博客
08-10 235
目前包括天眼高级威胁检测产品在内的天擎终端安全管理系统、NGSOC、TIP威胁情报平台、智慧防火墙等全线奇安信攻击检测类产品都已经支持对此威胁的检测,用户可以升级相关的设备到最新的版本和规则库。
Chrome 漏洞多:web 浏览器还安全吗?
smellycat000的专栏
06-27 649
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士和所有大型应用程序一样,谷歌 Chrome 也饱受漏洞之苦。2022年期间,SecurityWeek 媒体报道发现456个漏洞(每月平均38个漏洞),其中9个0day 漏洞。需要修复的漏洞如此之多,一个简单的问题是:Chrome 浏览器还安全吗?2023年,高频率的漏洞披露和补丁还在继续。Chrome 109 在1月份修复了23个漏洞。Chrom...
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 (附poc)
gjgj的博客
04-21 7514
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 一、基本信息 CVE编号:CNVD-2021-27989 危险等级:严重 漏洞类型:远程代码执行漏洞 漏洞影响范围:Google Chrome < = 89.0.4389.114。 利用条件:Chrome: <=89.0.4389.114,开启--no-sandbox 无沙盒模式 二、漏洞描述 攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。 Chr...
Chrome 爆出最新漏洞,快更新你的 Chrome
neal1991的专栏
11-02 1265
原文:https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/ 译者:neal1991 点击蓝字“madMen”关注我哟 摘要 卡巴斯基安全防护是卡巴斯基产品的一部分,过去已成功检测到许多零日攻击。最近,为 Google的 Chrome 浏览器发现了一个...
Chrome浏览器优化漏洞安全深度剖析
"该文档是关于Chrome浏览器在解优化过程中出现的安全漏洞的研究,由腾讯安全玄武实验室的刘博寒撰写。文档详细分析了Chrome浏览器的解优化模块历史漏洞,并探讨了利用这些漏洞的技术。Chrome作为市场份额最大的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值