Google已发布了更新程序,以解决Chrome浏览器中的多个漏洞,其中包括两个已被积极利用的漏洞。
适用于Windows,macOS和Linux的Chrome 86.0.4240.183已通过带有补丁的补丁程序推入稳定的渠道,该补丁程序总共有七个漏洞,所有漏洞的严重性等级都很高。
这些错误包括CVE-2020-16004(在用户界面中免费使用),CVE-2020-16005(ANGLE中的策略实施不足),CVE-2020-16006(在V8中不适当的实现),CVE-2020-16007(数据不足)安装程序中的验证),CVE-2020-16008(WebRTC中的堆栈缓冲区溢出)和CVE-2020-16011(Windows中的UI中的堆缓冲区溢出)。
漏洞的第七个漏洞是CVE-2020-16009,在V8 java script引擎中被描述为不合适的实现。谷歌警告说,该漏洞的利用已经在野外存在。
由Google威胁分析小组的Clement Lecigne和Project Zero小组的SamuelGroß发现的零日漏洞可以通过精心制作的HTML页面利用,以破坏内存并最终实现任意代码执行。
要利用此漏洞,攻击者必须诱使受害者访问恶意页面。实际上,所有这些错误都可以通过使用户访问恶意网页而被利用来执行代码或破坏系统。
不到两周前,谷歌发布了针对Chrome中其他高严重性漏洞的补丁程序,其中包括CVE-2020-15999,这是FreeType中积极利用的零日漏洞。
本周,谷歌还宣布了针对CVE-2020-16010的补丁的发布,CVE-2020-16010是一个严重性高的漏洞,会影响Android的Chrome浏览器,该补丁也已被广泛使用。
Google Project Zero的Maddie Stone,Mark Brand和Sergei Glazunov发现了这个问题,即Android UI中的堆缓冲区溢出。适用于Android的Chrome 86.0.4240.185解决了该漏洞。
Google Project Zero的Ben Hawkes在Twitter上指出,这两个漏洞都是在上周发现的。
谷歌表示,它向发现新解决的漏洞的研究人员奖励了36,000美元的错误赏金。但是,该公司未提供有关CVE-2020-16008的付款金额的详细信息,并指出,这两个被积极利用的漏洞没有得到任何赏金。