楠木軒

谷歌 Chrome 瀏覽器存在遠程代碼執行漏洞

由 勞新忠 發佈於 科技

IT之家4月14日消息 4 月 14 日,國家信息安全漏洞共享平台(CNVD)收錄了 Google Chrome 遠程代碼執行漏洞(CNVD-2021-27989)。IT之家獲悉,黑河攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞細節已公開,廠商尚未發佈新版本修復該漏洞。

一、漏洞情況分析

Google Chrome 是一款由 Google 公司開發的網頁瀏覽器,該瀏覽器基於 WebKit、Mozilla 等開源軟件開發,目標是提升穩定性、速度和安全性,並創造出簡單、有效的使用者界面。

2021 年 4 月 14 日,國家信息安全漏洞共享平台(CNVD)收錄了 Google Chrome 遠程代碼執行漏洞。未經身份驗證的攻擊者利用該漏洞,可通過精心構造惡意頁面,誘導受害者訪問,實現對瀏覽器的遠程代碼執行攻擊 , 但攻擊者單獨利用該漏洞無法實現沙盒(SandBox)逃逸。沙盒是 Google Chrome 瀏覽器的安全邊界,防止惡意攻擊代碼破壞用户系統或者瀏覽器其他頁面。Google Chrome 瀏覽器默認開啓沙盒保護模式。

CNVD 對該漏洞的綜合評級為 “高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括:

Google Chrome < = 89.0.4389.114。

三、漏洞處置建議

目前,Google 公司尚未發佈新版本或補丁包修復漏洞,CNVD 建議用户使用 Google Chrome 瀏覽器時不關閉默認沙盒模式,同時謹慎訪問來源不明的網頁鏈接或文件。