2021/4/15 Chrome 0day 远程代码执行漏洞复现
1.测试环境
浏览器版本 90.0.4430.72
操作系统 windows 7
2. 利用条件:关闭沙箱
3. 利用过程
- 打开chrome属性
- 在目标输入框最后添加 –no-sandbox
- 点击应用
4. 使用 chrome 打开 准备好的poc,弹出记事本
exp1 链接
exp2 链接
本人测试后感觉 exp1 适用性广,仅供参考。
4. 预防措施
- 开启沙箱模式,不要关闭沙箱模式(默认沙箱模式开启)。
- 可以使用 firefox 浏览器等非V8引擎的浏览器,浏览器版本及引擎查看可以参考这篇文章
参考文章
- Chrome V8引擎远程代码执行0day漏洞安全风险通告
- Chrome 远程代码执行漏洞复现 (2021年4月13日)
- 最新Chrome远程代码执行0Day