[复现]Chrome 0day（新版本依然没有修复）

漏洞描述

Google Chrome是由Google开发的免费网页浏览器。经测试，此0day漏洞影响 Chrome 最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）以下。攻击者可通过构造特制web页面并诱导受害者访问来利用此漏洞获得远程代码执行。

影响范围

Google Chrome <= 90.0.4430.72

基于Chromium内核的Microsoft Edge <= 89.0.774.77

其他基于V8引擎的浏览器

POC

https://github.com/avboy1337/1195777-chrome0day

操作步骤

1、通过命令行关闭沙箱，打开chrome

C:\Program Files\Google\Chrome\Application\chrome.exe --no-sandbox

注：我这里是默认安装路径

2、打开poc文件

chrome版本

复现截图

修复建议

目前Google暂未修复该漏洞，该漏洞仍为0day状态。建议用户谨慎点击可疑URL，谨慎处理可疑电子邮件及附件。特别是最近在hvv期间，请大家提高警惕。

参考链接

1、https://twitter.com/r4j0x00/status/1381643526010597380

2、https://blog.csdn.net/weixin_45728976/article/details/115720008