安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Google修补了积极利用的Chrome漏洞
2020-11-04 16:42:20 【

Google已发布了更新程序,以解决Chrome浏览器中的多个漏洞,其中包括两个已被积极利用的漏洞。

适用于Windows,macOS和Linux的Chrome 86.0.4240.183已通过带有补丁的补丁程序推入稳定的渠道,该补丁程序总共有七个漏洞,所有漏洞的严重性等级都很高。

这些错误包括CVE-2020-16004(在用户界面中免费使用),CVE-2020-16005(ANGLE中的策略实施不足),CVE-2020-16006(在V8中不适当的实现),CVE-2020-16007(数据不足)安装程序中的验证),CVE-2020-16008(WebRTC中的堆栈缓冲区溢出)和CVE-2020-16011(Windows中的UI中的堆缓冲区溢出)。

漏洞的第七个漏洞是CVE-2020-16009,在V8 java script引擎中被描述为不合适的实现。谷歌警告说,该漏洞的利用已经在野外存在。

由Google威胁分析小组的Clement Lecigne和Project Zero小组的SamuelGroß发现的零日漏洞可以通过精心制作的HTML页面利用,以破坏内存并最终实现任意代码执行。

要利用此漏洞,攻击者必须诱使受害者访问恶意页面。实际上,所有这些错误都可以通过使用户访问恶意网页而被利用来执行代码或破坏系统。

不到两周前,谷歌发布了针对Chrome中其他高严重性漏洞的补丁程序,其中包括CVE-2020-15999,这是FreeType中积极利用的零日漏洞

本周,谷歌还宣布了针对CVE-2020-16010补丁的发布,CVE-2020-16010是一个严重性高的漏洞,会影响Android的Chrome浏览器,该补丁也已被广泛使用。

Google Project Zero的Maddie Stone,Mark Brand和Sergei Glazunov发现了这个问题,即Android UI中的堆缓冲区溢出。适用于Android的Chrome 86.0.4240.185解决了该漏洞。

Google Project Zero的Ben Hawkes在Twitter上指出,这两个漏洞都是在上周发现的。


谷歌表示,它向发现新解决的漏洞的研究人员奖励了36,000美元的错误赏金。但是,该公司未提供有关CVE-2020-16008的付款金额的详细信息,并指出,这两个被积极利用的漏洞没有得到任何赏金。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇Google于2020年11月更新了30个漏洞 下一篇2020年上半年云安全分析报告!

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800