一. 漏洞简介
2021年4月13日,星河学院监测发现国外安全研究员发布了Chrome远程代码执行漏洞的利用详情,攻击者利用该漏洞可远程执行系统命令。此外,大量基于Chrome内核的浏览器也存在该漏洞。
二. 漏洞描述
2.1 事件描述
攻击者利用此漏洞,可以构造一个恶意的web页面,当用户访问该页面时,会造成远程代码执行。
2.2 影响版本
Google-Chrome<=89.0.4389.114
三. 详细分析
3.1 事件的攻击流程
Poc参考地址:
https://github.com/r4j0x00/exploits/tree/master/chrome-0day
该漏洞成功利用需要chrome浏览器在关闭沙箱的条件下运行。
1、google浏览器增加“–no-sandbox”参数。
2、访问部署了exp的网页,exp命令执行效果为调用系统计算器。
四. 总结
针对该漏洞,建议广大用户及时关注Google官方正式版更新。目前Google紧急发布的测试版Chrome(90.0.4430.70)已修复该漏洞。同时,建议不要关闭谷歌浏览器的沙箱模式。
自2021开年来,谷歌共修复CVE-2021-21148、CVE-2021-21166、CVE-2021-21193等多个高危0day漏洞,建议大家及时关注官方更新信息。Chrome用户可通过浏览器点击设置>关于Chrome来更新到最新版本。
五. 参考链接
https://twitter.com/r4j0x00/status/1381643526010597380
https://github.com/r4j0x00/exploits/tree/master/chrome-0day
来源:freebuf.com 2021-04-13 16:31:53 by: 星河工业安全
请登录后发表评论
注册