2021攻防实战重大漏洞预警：Chrome、Edge零日漏洞突“泄漏” – 作者:zyaiprotect

昨日凌晨，一个与谷歌Chrome浏览器和微软Edge浏览器相关的零日漏洞(0-Day)突然被意外“泄露”，该漏洞的严重性评分高达9.8。目前谷歌和微软都暂无相关安全补丁或安全更新推出。蓝队成员请提高警惕！

◆ 漏洞说明

资料显示，该漏洞是基于Chromium内核浏览器中V8 JavaScript引擎的远程代码执行漏洞，红队攻击者在基于Chromium的浏览器中加载PoC HTML文件及其相应的JavaScript文件后，就能实现对蓝队系统的渗透攻击。印度安全研究人员Rajvardhan Agarwal“意外”发布了该漏洞的PoC。目前，谷歌和微软都还未正式推出针对该漏洞的安全补丁或者升级文件。

◆ 蓝队成员应对

据悉，谷歌已经在V8 JavaScript引擎的最新版本中修复了该漏洞，预计本周三谷歌将会发布Chrome 90稳定版本，蓝队成员可尝试下载此版本浏览器解决漏洞隐患。

◆ 延伸警示

在今年的攻防实战演练行动上，红队依然在大肆利用各类0-Day漏洞发起攻击，这些漏洞涵盖了各类硬件产品、软件系统以及蓝队常用的OA系统等。突然爆出的0-Day漏洞基本都没有合适的安全补丁可安装，蓝队应对非常棘手。那么面对各类基于Http/Https的OA系统、在线应用0-Day漏洞时，建议蓝队尽快采用中云网安AI Web Defender这种新型人工智能应用安全产品，利用其以人工智能为核心驱动的智能安全防护能力，实现对应用层0-Day漏洞攻击的全面抵御，不再让突然爆出的OA系统0-Day漏洞成为红队攻击的利器。

零日漏洞(0-Day)确实很可怕，但只要蓝队采用了正确的方法，与之抗衡甚至是“无视”都是完全可能滴！

来源：freebuf.com 2021-04-14 11:08:24 by: zyaiprotect