Google披露了其Chrome浏览器中的多个严重的代码执行漏洞。要利用这些漏洞,攻击者只需要通过钓鱼或其他社会工程诱饵诱使目标用户访问特殊构造的网页。
总体上,Google为Windows,Mac和Linux发布的Chrome 85.0.4183.121修复了10个安全漏洞。根据Google,成功利用其中最严重的漏洞,攻击者可在浏览器的上下文中执行任意代码。Chrome 85.0.4183.121之前版本受到影响。
根据Google发布的安全公告,取决于该应用程序关联的权限,攻击者可以查看、修改或删除数据。如果该应用程序被配置成在系统上具有较少的用户权限,相较于被配置成管理权限,利用其中最严重的漏洞所造成的影响会较低。
根据其安全公告,Google在周二的公告中披露了五个高危安全漏洞,尽管技术详情仍然很少,因为这些信息通常“被限制,直到大多数用户都更新了补丁”。
然而,Google确实表示“如果用户访问,或被重定向至特殊构造的网页,这些漏洞可被利用。”
高危漏洞包括一个位于Google Chrome的存储中的越界读取错误漏洞(CVE-2020-15960)。该堆缓冲区溢出漏洞可导致远程攻击者通过特制的HTML页面执行越界内存访问。
Google还修复了与策略执行不充分有关的三个漏洞,其中包括两个来自Google Chrome的扩展的漏洞(CVE-2020-15961,CVE-2020-15963),攻击者可通过诱使用户安装恶意扩展,借助特制的Chrome扩展利用漏洞执行沙箱逃逸。
第三个策略验证漏洞(CVE-2020-15962)存在于Chrome的串行功能中,远程攻击者可借助特制的HTML页面利用该漏洞执行越界内存访问。
最后,Google修复了V8中的一个越界写入漏洞(CVE-2020-15965),V8是由负责Google Chrome和Chromium Web浏览器的Chromium Project开发的开源JavaScript引擎。远程攻击者可借助特制的HTML页面利用该漏洞执行越界内存访问。
Google表示,目前还没有关于这些漏洞被利用的报告。该公司敦促Chrome用户立即将稳定频道更新应用于脆弱的系统,并提醒用户“不要访问不受信任的网站或点击未知或不受信任的来源提供的链接。”
上个月,Google修复了其网络浏览器中的多个严重漏洞,包括Google基于Chromium的浏览器中的一个漏洞,攻击者可利用该漏洞绕过网站上的内容安全策略(CSP),以窃取数据并执行恶意代码。Google还在8月份修复了一个高危Chrome漏洞,该漏洞可被用来执行任意代码。
————————————————————————————————————–
消息来源Threat Post;转载请注明出处。
来源:freebuf.com 2020-09-24 13:54:33 by: 偶然路过的围观群众
请登录后发表评论
注册