BUF大事件丨谷歌Chrome 0Day漏洞PoC公布；微软发布4月补丁更新 – 作者:willhuang

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，Pwn2Own 2021黑客大赛落下帷幕；谷歌Chrome接连曝出0day PoC；微软发布4月补丁更新，修复了108个漏洞和5个零日漏洞。想要了解详情，来看本周的BUF大事件吧！

观看视频

内容梗概

谷歌Chrome 0Day漏洞通报

4月13日，国外安全研究员发布了一个基于Chromium内核的远程代码执行0Day漏洞。漏洞影响Chrome最新正式版（89.0.4389.114）以及所有低版本，攻击者可以通过构造特殊的Web页面，诱导受害者访问，达到远程代码执行的目的。另外，使用谷歌Chrome内核的其他浏览器也受其影响。据悉，这是一个已经公开披露的安全漏洞，但在当前的浏览器版本中还没有修补，谷歌本打算在近期发布的Chrome 90版本中修复这个漏洞。但一天之后，Chrome又被曝了第二个0day漏洞，并且PoC同样也被安全人员公开。新漏洞与之前发布的0day一样，都是远程代码执行漏洞且无法躲过Chromium的沙箱功能。PoC显示该漏洞会导致Windows记事本应用程序被打开。目前尚不知道新的漏洞会不会影响谷歌的漏洞修复进度和Chrome 90发布。

Pwn2Own 2021黑客大赛落下帷幕

每年的Pwn2Own黑客大赛都会吸引全球无数安全研究人员同场竞技、交流心得。近期，Pwn2Own 2021黑客大赛落下帷幕，今年的Pwn2Own活动为期三天，采用线上直播的方式进行，提供了涉及10个不同产品类别的23场独立黑客破解活动。白帽黑客参与者在第一天就获得了超过50万美元的收入：Devcore团队通过Microsoft Exchange服务器漏洞获得了20万美元的收入。RET2安全研究员执行了一个Safari到内核的零日漏洞，为自己赢得了10万美元。

一名印度安全研究人员公布了一个影响谷歌Chrome和其他基于Chromium浏览器的漏洞概念验证（PoC）利用代码。该漏洞被认为和最近被爆出的Chrome 0Day相同。

微软发布4月补丁更新，修复了108个漏洞和5个零日漏洞

近期，微软发布4月补丁更新，修复了108个漏洞，包括19个严重漏洞和89个重要漏洞，还修复了5个零日漏洞。另外，在本次更新中，微软正式放弃了对经典版Edge浏览器的支持。更新将自动卸载旧版本同时下载并安装采用Chromium内核的新版Microsoft Edge浏览器。

CSGO漏洞允许黑客通过Steam邀请控制电脑

起源引擎是由Valve为第一人称射击游戏《半条命2》开发的游戏引擎。近期，有安全研究组织透露，采用起源引擎的多个游戏存在漏洞，黑客通过诱骗受害者点击Steam邀请玩CS:GO游戏，就可以控制对方电脑。安全研究员称，这个漏洞早在2019年6月就报告给了Valve，漏洞存在于Source引擎中，部分使用 Source 引擎的游戏已经修复了漏洞，但在 CS:GO 中该漏洞仍然存在。

来源：freebuf.com 2021-04-16 19:09:02 by: willhuang