国外安全研究员发布了Chrome浏览器远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别,攻击者能够利用漏洞构造特别的页面,访问该页面会形成远程代码执行。web
1漏洞描述chrome
国外安全研究员发布了Chrome远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会形成远程代码执行。浏览器
Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器一样也会受此漏洞影响。安全
该0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版(89.0.4389.114)仍受漏洞影响。测试
2漏洞等级blog
严重 3受影响的版本开发
Chrome <= 89.0.4389.114class
使用chrome内核的其余浏览器,也会受到漏洞影响。软件
4安全版本 Chrome(90.0.4430.70)beta测试版腾讯
5漏洞复现与验证
腾讯安全专家已在chrome(89.0.4389.114)上对公开的poc进行验证
Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开
6漏洞修复建议
目前Google只针对该漏洞发布了beta测试版的Chrome(90.0.4430.70)修复,Chrome正式版(89.0.4389.114)仍存在风险。
临时解决方案:
腾讯安全专家建议重要机构用户,能够暂时升级到chrome测试版(90.0.4430.70),或者在沙箱中使用。在攻防演练应用场景,应特别注意防范点击来历不明的URL,避免点击可疑邮件附件,以避免中招受害。
其余用户应密切关注版本升级信息,其余使用chrome内核的浏览器也受影响。用户能够经过腾讯电脑管家、腾讯零信任iOA集成的软件管理功能升级安装浏览器到最新版本。