谷歌今日釋出了一個 Chrome 更新程式,以修復三個安全漏洞。其中包括一個零日漏洞補丁,目前正在被積極展開利用。
有關這些攻擊的詳情尚未公開,不過外媒 ZDNet 指出,谷歌威脅分析團隊成員 Clement Lecigne 於上週(2 月 18 日)發現了這一問題。
目前谷歌已經釋出了面向 Windows / Ma / Linux 的 Chrome 80.0.3987.122 更新,Chrome OS / iOS / Android 版本還請稍後。
根據 CVE-2020-6418 描述的資訊,可知該漏洞與“V8 中的型別混淆”有關。作為 Chrome 瀏覽器的一個重要元件,其負責 JavaScript 程式碼的處理。
所謂型別混淆,特指應用程式在編碼初始化的時候,對輸入資料執行了錯誤的操作型別。
攻擊者可透過精心編造的程式碼來欺騙瀏覽器,導致程式記憶體中出現邏輯錯誤,甚至不受限制地執行惡意程式碼。
需要指出的是,這還是過去一年裡,曝出的第三個被利用的 Chrome 零日漏洞。
比如去年 3 月,谷歌修復了 Chrome 72.0.3626.121 中的 CVE-2019-5786 漏洞,然後又在 11 月修補了 Chrome 78.0.3904.8 中的 CVE-2019-13720 漏洞。
最後,Chrome v80.0.3987.122 附帶了另外兩個安全更新,但目前尚未在野外被利用。
谷歌今日釋出了一個 Chrome 更新程式,以修復三個安全漏洞。其中包括一個零日漏洞補丁,目前正在被積極展開利用。
有關這些攻擊的詳情尚未公開,不過外媒 ZDNet 指出,谷歌威脅分析團隊成員 Clement Lecigne 於上週(2 月 18 日)發現了這一問題。
目前谷歌已經釋出了面向 Windows / Ma / Linux 的 Chrome 80.0.3987.122 更新,Chrome OS / iOS / Android 版本還請稍後。
根據 CVE-2020-6418 描述的資訊,可知該漏洞與“V8 中的型別混淆”有關。作為 Chrome 瀏覽器的一個重要元件,其負責 JavaScript 程式碼的處理。
所謂型別混淆,特指應用程式在編碼初始化的時候,對輸入資料執行了錯誤的操作型別。
攻擊者可透過精心編造的程式碼來欺騙瀏覽器,導致程式記憶體中出現邏輯錯誤,甚至不受限制地執行惡意程式碼。
需要指出的是,這還是過去一年裡,曝出的第三個被利用的 Chrome 零日漏洞。
比如去年 3 月,谷歌修復了 Chrome 72.0.3626.121 中的 CVE-2019-5786 漏洞,然後又在 11 月修補了 Chrome 78.0.3904.8 中的 CVE-2019-13720 漏洞。
最後,Chrome v80.0.3987.122 附帶了另外兩個安全更新,但目前尚未在野外被利用。