2021攻防实战重大漏洞预警:Chrome、Edge零日漏洞突“泄漏” – 作者:zyaiprotect

昨日凌晨,一个与谷歌Chrome浏览器和微软Edge浏览器相关的零日漏洞(0-Day)突然被意外“泄露”,该漏洞的严重性评分高达9.8。目前谷歌和微软都暂无相关安全补丁或安全更新推出。蓝队成员请提高警惕!

◆ 漏洞说明

资料显示,该漏洞是基于Chromium内核浏览器中V8 JavaScript引擎的远程代码执行漏洞,红队攻击者在基于Chromium的浏览器中加载PoC HTML文件及其相应的JavaScript文件后,就能实现对蓝队系统的渗透攻击。印度安全研究人员Rajvardhan Agarwal“意外”发布了该漏洞的PoC。目前,谷歌和微软都还未正式推出针对该漏洞的安全补丁或者升级文件。图片[1]-2021攻防实战重大漏洞预警:Chrome、Edge零日漏洞突“泄漏” – 作者:zyaiprotect-安全小百科

◆ 蓝队成员应对

据悉,谷歌已经在V8 JavaScript引擎的最新版本中修复了该漏洞,预计本周三谷歌将会发布Chrome 90稳定版本,蓝队成员可尝试下载此版本浏览器解决漏洞隐患。

◆ 延伸警示

在今年的攻防实战演练行动上,红队依然在大肆利用各类0-Day漏洞发起攻击,这些漏洞涵盖了各类硬件产品、软件系统以及蓝队常用的OA系统等。突然爆出的0-Day漏洞基本都没有合适的安全补丁可安装,蓝队应对非常棘手。那么面对各类基于Http/Https的OA系统、在线应用0-Day漏洞时,建议蓝队尽快采用中云网安AI Web Defender这种新型人工智能应用安全产品,利用其以人工智能为核心驱动的智能安全防护能力,实现对应用层0-Day漏洞攻击的全面抵御,不再让突然爆出的OA系统0-Day漏洞成为红队攻击的利器。

零日漏洞(0-Day)确实很可怕,但只要蓝队采用了正确的方法,与之抗衡甚至是“无视”都是完全可能滴!

来源:freebuf.com 2021-04-14 11:08:24 by: zyaiprotect

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论