导读 近日,谷歌Chrome发布Windows、Mac和 Linux 86.0.4240.183版本,其中修复了10个安全漏洞,其中包含1个高危的在野利用0 day漏洞——CVE-2020-16009。

该漏洞是由谷歌负责追踪威胁行动者及其活动的威胁分析团队 (TAG) 发现的,谷歌对其描述为“V8 中的不当实现“。另外,谷歌在安全更新公告中表示,”谷歌已发现该漏洞遭在野利用的报告“。

一般情况下,谷歌不会公开0day及利用0day 组织的详情,以便用户能够安装更新并阻止其它威胁行动者开发出针对0day 的 exploit。不过谷歌在今天发布的变更日志中表示,CVE-2020-16009 存在于负责处理 JavaScript 代码的 Chrome 组件 V8 中。

V8 是一款由 Chromium Project 为 Chrome 和 Chromium Web 浏览器开发的开源 JavaScript 引擎。V8 引擎第一版和 Chrome 第一版均出现在2008年9月2日。同时V8 还应用在服务器段,如 Couchbase、MongoDB 和 Node.js 中。按照谷歌的规定,所有漏洞的详情将于漏洞修复14天后公开。建议 Chrome 用户将浏览器更新至版本 86.0.4240.183 或后续版本。

Chrome再更新,修复0 day漏洞 ,其中包括:

  • CVE-2020-16004:用户接口中的高危UAF 漏洞;
  • CVE-2020-16005:ANGLE中的策略执行不充分;
  • CVE-2020-16006:V8 中的不当实现;
  • CVE-2020-16007:安装器中的数据有效性验证不足;
  • CVE-2020-16008:WebRTC 中的栈缓存溢出;
  • CVE-2020-16009:V8 中的不当实现;
  • CVE-2020-16011:Windows上UI 中的堆缓存溢出漏洞。
  • CVE-2020-16009

其中CVE-2020-16009 漏洞是在10月29日由谷歌Project Zero研究人员Groß和谷歌TAG 研究人员Clement Lecigne提交的。随后,研究人员就发现了该漏洞的在野利用。因此,谷歌紧急发布了该漏洞的补丁,这是2周谷歌修复的第二个0 day在野利用漏洞。

谷歌Project Zero研究人员Ben Hawkes称CVE-2020-16009漏洞是由于V8 JS渲染引擎不当实现引发的远程代码执行漏洞。

CVE-2020-16010

此外,谷歌还修复了Chrome安卓客户端的一个0 day漏洞利用——CVE-2020-16010。

谷歌暂时并未就这2个漏洞的技术细节进行说明。

原文来自:https://os.51cto.com/art/202011/631111.htm

本文地址:https://www.linuxprobe.com/chrome-0-day-bug.html编辑:张雄,审核员:清蒸github

Linux命令大全:https://www.linuxcool.com/