cnBeta
谷歌今日發佈了一個 Chrome 更新程序,以修復三個安全漏洞。其中包括一個零日漏洞補丁,目前正在被積極展開利用。
有關這些攻擊的詳情尚未公開,不過外媒 ZDNet 指出,谷歌威脅分析團隊成員 Clement Lecigne 於上週(2 月 18 日)發現了這一問題。
作為谷歌下設的一個部門,其主要負責調查和追蹤安全威脅的來源。
目前谷歌已經釋出了面向 Windows / Ma / Linux 的 Chrome 80.0.3987.122 更新,Chrome OS / iOS / Android 版本還請稍後。
根據 CVE-2020-6418 描述的信息,可知該漏洞與“V8 中的類型混淆”有關。作為 Chrome 瀏覽器的一個重要組件,其負責 JavaScript 代碼的處理。
所謂類型混淆,特指應用程序在編碼初始化的時候,對輸入數據執行了錯誤的操作類型。
攻擊者可通過精心編造的代碼來欺騙瀏覽器,導致程序內存中出現邏輯錯誤,甚至不受限制地運行惡意代碼。
需要指出的是,這還是過去一年裡,曝出的第三個被利用的 Chrome 零日漏洞。
比如去年 3 月,谷歌修復了 Chrome 72.0.3626.121 中的 CVE-2019-5786 漏洞,然後又在 11 月修補了 Chrome 78.0.3904.8 中的 CVE-2019-13720 漏洞。
最後,Chrome v80.0.3987.122 附帶了另外兩個安全更新,但目前尚未在野外被利用。
分享到:
