注意了!Chrome 浏览器最新高危漏洞曝光

最新推荐文章于 2024-05-12 15:51:58 发布
最新推荐文章于 2024-05-12 15:51:58 发布
阅读量1.5k 收藏 1
点赞数 2
文章标签: 信息安全 css web 编程语言 安全

Chrome 漏洞 远程代码执行 沙盒 高危
关键词由CSDN通过智能技术生成

这是「进击的Coder」的第 149 篇热点新闻

作者:okay

来源:扩展迷EXTFANS

阅读本文大概需要 3 分钟。

4 月 14 日,国家信息安全漏洞共享平台(CNVD)收录了 Google Chrome 远程代码执行漏洞,编号为 CNVD-2021-27989。

据悉,黑客攻击者利用该漏洞,可在未授权的情况下远程执行代码。

目前,漏洞细节已公开,Chrome 官方尚未发布新版本修复该漏洞。

一、漏洞情况分析

2021 年 4 月 14 日,国家信息安全漏洞共享平台收录了 Google Chrome 远程代码执行漏洞,CNVD 对该漏洞的综合评级为“高危”。

未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。

沙盒是计算机领域的一种虚拟技术,多用于计算机安全防控。

它可以通过重定向专技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,就可以先让它在沙盒中运行。

如果用户在沙箱中运行的下载包含恶意代码,则将被浏览器禁止进一步运行,这样它就无法访问或感染用户的计算机系统了。

正常情况下,Chrome 浏览器是默认开启沙盒保护模式的。

二、漏洞影响范围

漏洞影响的产品版本包括:

Google Chrome < = 89.0.4389.114。

也就是说,截止目前所有版本的 Chrome 浏览器都存在风险。

三、漏洞处置建议

截止撰稿时,Google 公司尚未发布新版本或补丁包修复漏洞,CNVD 建议用户使用 Chrome 浏览器时不关闭默认沙盒模式,同时谨慎访问来源不明的网页链接或文件。

值得一提的是,北京时间 4 月 15 日,谷歌向全平台用户推送 Chrome89 正式版。

但据扩展迷了解,在本次官方更新的 37 个已修复漏洞中,并未包含本次 CNVD 发现的 CNVD-2021-27989。

因此即使大家升级到了 Chrome90,仍需要注意日常防护。

资料显示,国家信息安全漏洞共享平台是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心)联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

自 2009 年成立以来,CNVD 平台已成为最具社会影响力的国家级漏洞库,在维护良好漏洞生态秩序方面发挥了重要作用。

End

「进击的Coder」专属学习群已正式成立,搜索「CQCcqc4」添加崔庆才的个人微信或者扫描下方二维码拉您入群交流学习。

看完记得关注@进击的Coder

及时收看更多好文

↓↓↓

好文和朋友一起看~

VIP_CQCRE
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Google Chrome RCE漏洞 CVE-2020-6507 和 CVE-2024-0517 流程分析
m0_61072747的博客
04-03 673
有一个小问题,我直接使用谷歌浏览器打开这个exp.html时是没有反应的包括默认开打浏览器都不行,需要在谷歌浏览器的地址上输入exp地址才可以执行。所以这个漏洞的一个行为是值得浅析一下的,下面是我的大概一个理解。其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实现的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
开源安全问题不容忽视
qq_36527069的博客
08-03 455
随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。   开源安全的特点: 1.     由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用 2.     开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。 3.    
Google Chrome RCE漏洞 CVE-2024-6507 和 CVE-2024-0517 流程分析(1)
最新发布
2401_84910919的博客
05-12 905
其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实现的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
Chrome浏览器爆高严重性安全漏洞
极道Jdon的技术博客
03-28 557
Google 已针对 Chrome 99 发布了紧急安全更新,以解决已存在公开利用漏洞漏洞。CVE-2022-1096并被认为是高严重性的安全漏洞。是V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。 该漏洞是由一位匿名研究人员报告的,该公司尚未确定此问题的漏洞赏金金额。 谷歌已经为所有 Chrome 用户发布了一个紧急安全更新,因为它确认攻击者已经在利用一个高严重性的零日漏洞Chrome 99.0.4844.8...
Google确认Chrome存在严重漏洞,向20亿用户发出警告:你们需立即更新浏览器
2401_84253089的博客
04-15 922
而谷歌的更新提示相对于这个漏洞的严重性来说,就稍微显得有些不痛不痒了,因为大多数用户都不知道不更新的话会带来什么样的严重后果。Sophos称,即使Chrome浏览器的Chromium内核是一个开源项目,但该漏洞本身却是一个秘密。在最初的报告中,受影响的用户表示,他们尝试过多次卸载并重新启动Chrome,但仍然无法解决该问题。不过,从另一方面来说,Google选择不公开漏洞的细节,也是为了避免被潜在的黑客所利用。中已修复了这些漏洞,因此,请大家务必确保你的Chrome浏览器已经是最新的版本。
google chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位)
09-15
chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome...
Google Chrome浏览器最新版71.0(2019年)
01-14
CSDN下载频道是Google Chrome浏览器官方指定下载站点,可以确保您下载到免费的最新版本无插件绿色软件。 免费体验高效办公还有积分相送你还不快来试试! 注意:已经安装过Chrome浏览器的用户必须要先卸载浏览器和...
chrome浏览器最新
09-22
谷歌浏览器,是一个由Google(谷歌)公司开发的开放原始码网页浏览器。该浏览器是基于其他开放原始码软件所撰写,包括WebKit和Mozilla,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面
Chrome浏览器最新版本109.0.5414.75-chrome-installer 离线安装包
01-14
109.0.5414.75_chrome_installer_x86 谷歌浏览器最新版本,稳定版32位浏览器,离线安装包
Google Chrome浏览器下载
04-18
Google Chrome浏览器下载,谷歌浏览器(Google Chrome)是谷歌公司开发的一款免费的网络浏览器。它拥有简洁的界面,机智的地址栏,强大的浏览选项和web应用扩展。Chrome 浏览器的目标是让上网变简单、快速和安全。 主要...
Chrome 多个高危漏洞通告
爱国小白帽
01-14 1108
报告编号:B6-2021-011201 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-12 0x01事件简述 2021年01月12日,360CERT监测发现Google发布了Chrome安全更新的风险通告,事件等级:严重,事件评分:9.6。 Goolge针对Chrome发布了新版本更新,新版中修复了16处安全漏洞,包含12个高危漏洞。 其中CVE-2020-21107/21108/21109/21115四处高危漏洞由 360Alpha Lab 第一时间向Google报告并协.
谷歌开发人员在现代Web浏览器中发现严重跨域漏洞
w3cschools的博客
06-21 467
  Google谷歌研究人员在现代网络浏览器中发现了一个严重漏洞,该漏洞可能允许您访问的网站从您登录同一浏览器的其他网站窃取您的在线帐户的敏感内容。  由Google谷歌Chrome的开发者支持者Jake发现,该漏洞驻留在浏览器处理视频和音频文件的跨域请求的方式中,这些文件如果被利用,可能允许远程攻击者甚至读取您的邮箱或微博消息的内容。  出于安全原因,现代Web浏览器不允许网站向不同的域发出跨域...
Gmail存在严重安全漏洞 无需密码也可进入邮箱
eygle's life
11-07 2449
Gmail存在严重安全漏洞 无需密码也可进入邮箱    【赛迪网讯】据以色列新闻网站Nana报道,Google公司基于Web的电子邮件服务Gmail存在严重安全漏洞。该漏洞允许入侵者在不知道用户帐户密码的前提下,成功访问所有帐户。  据该网站报道,黑客只要通过一个16进制XSS链接即可盗取用户的“cookie”文件。然后,黑客可以利用该文件伪装成原始登录用户,从而成功入侵该帐户,而且即使用
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞复现
huangyongkang666的博客
11-18 3775
Google Chrome 任意文件读取漏洞(CVE-2023-4357)
Chrome漏洞又出现
我的专栏
10-27 385
   一个开源的浏览器chrome由于它的漏洞百出,很多人放弃了,我也是一样,我用了一个星期后,又回来用FF,IE,看来这个CHROME来势很猛,但后来的劲真的是来足,放弃的人都明白,安全的重要性,这个我考虑过,最后用的还是IE,特别是在支付时,这并不说IE有多么的安全,起码一个成熟的浏览器比不个刚起步的还是好很多,虽然它的速度很快.   这次又曝地址欺骗的安全漏洞,使得很多人对它越来越来没有什么
Chrome漏洞分析与利用(三)——Issue-1062091漏洞分析
Anansi的博客
04-12 1130
漏洞环境 漏洞说明 Issue-1062091为chrom中存在的一个UAF漏洞,此漏洞存在于chromium的Mojo框架中,利用此漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸。 这个漏洞是在Chrome 81.0.4041.0的提交中引入的。在几周后,这个提交中的漏洞恰好移动到了实验版本命令行标志的后面。但是,这个更改位于Chrome 82.0.4065.0版本中,因此该漏洞Chrome稳定版本81的所有桌面平台上都是可以利用的。 环境配置 一开始打算像调试v8漏洞那样尝试用fetc
Chrome 爆出最新漏洞,快更新你的 Chrome
neal1991的专栏
11-02 1252
原文:https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/ 译者:neal1991 点击蓝字“madMen”关注我哟 摘要 卡巴斯基安全防护是卡巴斯基产品的一部分,过去已成功检测到许多零日攻击。最近,为 Google的 Chrome 浏览器发现了一个...
注意了!Chrome浏览器最新高危漏洞曝光
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
04-18 324
????????关注后回复“进群”,拉你进程序员交流群????????来源丨扩展迷EXTFANS4月14日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码...
Chrome浏览器优化漏洞安全深度剖析
"该文档是关于Chrome浏览器在解优化过程中出现的安全漏洞的研究,由腾讯安全玄武实验室的刘博寒撰写。文档详细分析了Chrome浏览器的解优化模块历史漏洞,并探讨了利用这些漏洞的技术。Chrome作为市场份额最大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值