Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开

国外安全研究员发布了Chrome浏览器远程代码执行 0Day漏洞的POC详情，漏洞为“严重”级别，攻击者可以利用漏洞构造特别的页面，访问该页面会造成远程代码执行。

 

1漏洞描述

国外安全研究员发布了Chrome远程代码执行 0Day漏洞的POC详情，漏洞为“严重”级别。攻击者利用此漏洞，构造一个恶意的web页面，用户访问该页面时，会造成远程代码执行。

 

Google Chrome是由Google开发的免费网页浏览器，大量采用Chrome内核的浏览器同样也会受此漏洞影响。

 

该0day漏洞已被验证，目前Google只针对该漏洞发布了beta测试版Chrome（90.0.4430.70）修复，Chrome正式版（89.0.4389.114）仍受漏洞影响。

 

2漏洞等级

严重

3受影响的版本

 

Chrome <= 89.0.4389.114

使用chrome内核的其他浏览器，也会受到漏洞影响。

 

4安全版本

Chrome（90.0.4430.70）beta测试版

 

5漏洞复现与验证

 

腾讯安全专家已在chrome（89.0.4389.114）上对公开的poc进行验证。

 

6漏洞修复建议

 

目前Google只针对该漏洞发布了beta测试版的Chrome（90.0.4430.70）修复，Chrome正式版（89.0.4389.114）仍存在风险。

 

临时解决方案：

腾讯安全专家建议重要机构用户，可以暂时升级到chrome测试版（90.0.4430.70），或者在沙箱中使用。在攻防演练应用场景，应特别注意防范点击来历不明的URL，避免点击可疑邮件附件，以免中招受害。

其他用户应密切关注版本升级信息，其他使用chrome内核的浏览器也受影响。用户可以通过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装浏览器到最新版本。