更新提示!Chrome新的零日漏洞正被利用

最新推荐文章于 2022-11-25 11:40:58 发布
最新推荐文章于 2022-11-25 11:40:58 发布
阅读量331 收藏
点赞数
分类专栏: 网络安全
原文链接:https://bbs.ichunqiu.com/thread-60247-1-1.html
版权

在修复了上一个零日漏洞之后,Chrome浏览器又开始马不停蹄地修复第二个零日漏洞。

 

3月2日,谷歌发布了Chrome浏览器第二个零日漏洞的修复程序,称该漏洞正被积极利用。

 

当天,谷歌发布了Windows、Mac和Linux版Chrome安全更新v89.0.4389.72,修复了 47 个漏洞,其中包括正被利用零日漏洞。

 

该漏洞编号为 CVE-2021-21166,由微软安全研究员 Alison Huffman 在2月11日报告的两个漏洞之一。但谷歌没有披露具体漏洞细节,只是表示该漏洞正被利用。由于缺乏详细信息,因此尚不清楚两个漏洞是否有相关性。

 

漏洞CVE-2021-21166

 

谷歌承认该漏洞被普遍利用,但不再分享更多细节,以便让大多数用户安装修复程序,并防止攻击者利用该漏洞。

 

Chrome技术项目经理Prudhvikumar Bommana表示:“ 谷歌已获悉漏洞CVE-2021-21166存在被利用的情况。”

 

这是自年初以来谷歌已解决的Chrome中的第二个零日漏洞。上一个是2月4日修复的V8堆溢出漏洞CVE-2021-21148,该漏洞存在于音频组件中。

 

此外,Google去年解决了五个Chrome零日漏洞,这五个漏洞集中在在10月20日至11月12日内被利用。

 

Chrome用户可以前往设置>帮助>关于,将浏览器更新到最新版本,以减轻该漏洞带来的风险。

yalin7076
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Chrome离线安装包
07-14
Chrome版本太旧,提示更新,但点击更新按钮又无法完成更新的朋友看过来。 这是我好不容易爬梯子去官网上下载的离线安装版本,请大家笑纳。 2022-07-14更新 故事是这样的: 下班回到家,Chrome提示说版本太旧,我就...
Chrome漏洞分析与利用(三)——Issue-1062091漏洞分析
Anansi的博客
04-12 1128
漏洞环境 漏洞说明 Issue-1062091为chrom中存在的一个UAF漏洞,此漏洞存在于chromium的Mojo框架中,利用漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸。 这个漏洞是在Chrome 81.0.4041.0的提交中引入的。在几周后,这个提交中的漏洞恰好移动到了实验版本命令行标志的后面。但是,这个更改位于Chrome 82.0.4065.0版本中,因此该漏洞Chrome稳定版本81的所有桌面平台上都是可以利用的。 环境配置 一开始打算像调试v8漏洞那样尝试用fetc
Chrome漏洞分析与利用(十二)——issue 1315901(CVE-2022-1364)
Anansi的博客
10-20 1157
本以为指向同一块element的FixedArray是在getThis中生成的,但在getThis函数的执行逻辑中并未找到,再结合patch与类似的漏洞cve 2021-21195的漏洞分析,最后发现FixedArray是在OptimizedFrame::Summarize函数中生成的,该函数在创建JSError对象过程中被调用会打包产生错误的函数及其相关对象数据。通过查看POC代码会发现e1,e2中的C,M对象都是是通过C函数获取到的,C函数中通过。
Chrome漏洞分析与利用(九)——issue 1296150(cve 2022-0609)
Anansi的博客
07-08 1625
issue 1296150(CVE 202-0609) 由于此漏洞在chromium release版本下触发失败,通过查看issue页面发现崩溃产生于DCHECK(),故尝试编译debug版进行漏洞调试 安装vs,勾选以下组件其余默认,vs最好安装在默认路径否则在编译时可能出现问题,具体问题及解决办法查看v8编译。 然后设置好环境变量 使用以下方法获取指定版本chromium的源码 再使用以下方法同步源码并同时执行runhooks 使用以下方法清理目录 最后执行以下内容打开编译配置文件 在编译配置
Chrome浏览器远程代码执行漏洞(无沙箱模式)
曹振国的博客
07-28 1021
文章目录一、漏洞描述二、漏洞影响范围三、漏洞复现1.利用msf生成payload2.生成exp页面3.启动msf监听4.将谷歌浏览器以无沙盒模式运行5.运行html文件,msf成功拿shell 一、漏洞描述 安全公告编号:CNTA-2021-0015 2021年4月14日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码执行漏洞(CNVD-2021-27989)。攻击者利用漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商已发布版本修复该漏洞。 二、漏洞影响范围
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2809
聚焦源代码安全,网罗国内外最资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞复现四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
chrome日文版
03-15
chrome 日文版 安装时请保证网络常连接。
OMG! Chrome!-crx插件
03-19
此扩展程序在Chrome工具栏上添加了一个按钮,可让您单击一下即可快速预览帖子。工具栏图标还将显示您尚未阅读的项目数。没有项目时,图标将变为灰色。发布帖子时,您会看到一个Chrome通知气泡提醒您,尽管可以...
Chrome离线安装包
07-10
Chrome离线安装包,版本v103.0.5060.114,更新时间2022-07-10 Google Chrome,中国大陆官方译名:谷歌浏览器(据最消息,Chrome的中文名可能叫做:酷容浏览器),台湾官方译名:Google Chrome,香港官方译名:...
Chrome漏洞分析与利用(十三)——issue-1182647(CVE 2021-21195)漏洞分析
Anansi的博客
11-25 657
由于调用了gc函数,所以在使用d8执行时需要加上–expose-gc 参数,执行后。
Chrome 0 day漏洞利用
HBohan的博客
07-13 244
远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的。虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用漏洞——CVE-2021-21224。此外,研究人员还推测攻击者使用JS文件以及则测试来开发漏洞利用,并用于攻击活动。 权限提升漏洞利用 CVE-2021-31955 CVE-2021-31955漏洞是ntoskrnl.exe中的一个信息泄露漏洞。该漏洞与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Wind.
Chrome-V8-CVE-2021-30599的漏洞
Andrew_Chenwq的博客
01-26 888
早在chrome一次更新修复该漏洞后就关注到了这个漏洞,不过当时是一个研究者一次提交了两个漏洞,还都是21000美元的高悬赏,我当时只注意到了CVE-2021-30598的两次patch,看到其中一次将typeguard改为checkbound,猜测是可以达到rce的。
Chrome浏览器代码执行0day漏洞
thlzjfefe的博客
05-24 475
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD="ca
Chrome V8命令执行漏洞(CVE-2022-1310)分析
Moyun_vackbot的博客
07-25 600
Google于2022年4月11日更新Chrome的100.0.4896.88,其中修复了由@btiszka在3月18日报告的则表达式模块的UAF漏洞;6月28日,Google纰漏了该漏洞的具体细节,目前该漏洞已被修复并公开了技术细节,本文将从技术角度分析漏洞的成因和修复方式。...
Chrome远程代码执行漏洞-20210413
Hugu
04-20 734
2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情,漏洞等级:严重,漏洞评分:9.8。 Google Chrome是由Google开发的免费网页浏览器。Chrome是化学元素“铬”的英文名称,过去也用Chrome称呼浏览器的外框。Chrome相应的开放源代码计划名为Chromium,而Google Chrome本身是非自由软件,未开放全部源代码 该漏洞已验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70
Chrome浏览器爆高严重性安全漏洞
极道Jdon的技术博客
03-28 557
Google 已针对 Chrome 99 发布了紧急安全更新,以解决已存在公开利用漏洞漏洞。CVE-2022-1096并被认为是高严重性的安全漏洞。是V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。 该漏洞是由一位匿名研究人员报告的,该公司尚未确定此问题的漏洞赏金金额。 谷歌已经为所有 Chrome 用户发布了一个紧急安全更新,因为它确认攻击者已经在利用一个高严重性的零日漏洞Chrome 99.0.4844.8...
利用微信内置浏览器Chrome漏洞实现远控
天乐的博客
04-17 1157
环境:微信PC版本3.2.1.112 利用步骤: 1.首先使用CobaltStrike生成一个x86格式的shellcode。 2.搭建一个测试网站,将下方0day poc放入。 ENABLE_LOG = true; IN_WORKER = true; // run calc and hang in a loop var shellcode = [shellcode];//shellcode替换成自己的 function print(data) { } var not_optimised_ou
[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
杨秀璋的专栏
01-21 9828
作者前面详细介绍了熊猫烧香病毒的逆向分析过程。这篇文章换个主题继续介绍,本文将对Chrome浏览器保留密码的功能进行渗透解析;同时复现一个最近流行的漏洞,通过Chrome浏览器实现Win10蓝屏;最后介绍音乐软件的加密功能及漏洞复现。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,开发厂商进行相关的漏洞修补,安全保障任重道远。
CVE-2021-21166
weixin_48300170的博客
07-14 1163
CVE-2021-21166 Chrome 远程代码执行0 Day 漏洞复现漏洞简介漏洞信息漏洞原理环境搭建漏洞复现漏洞修复 漏洞简介       在2021年2月11日,微软浏览器漏洞研究团队的研究员 Alison Huffman提交一个0day漏洞。       一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式
无法更新chrome至最版本
最新发布
09-18
无法更新Chrome至最版本可能是由于以下原因: 1. 网络连接问题:如果你的网络连接不稳定或者不可用,那么就无法完成Chrome更新。请确保你的网络连接良好,并尝试重启动你的路由器或者尝试使用其他网络。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值