谷歌在本周二的公告中披露了 Chrome 瀏覽器五個(gè)高度嚴(yán)重的漏洞。根據(jù)與應(yīng)用程序相關(guān)的特權(quán)，攻擊者可以查看，更改或刪除數(shù)據(jù) 。據(jù)谷歌稱，成功利用其中最嚴(yán)重的漏洞可能使攻擊者能夠在瀏覽器的上下文中執(zhí)行任意代碼。

以下是漏洞詳情：

漏洞詳情

1. CVE-2020-15960 嚴(yán)重程度：高

該堆緩沖區(qū)溢出（越界讀取）漏洞可能允許遠(yuǎn)程攻擊者通過精心制作的 HTML 頁面執(zhí)行超出范圍的內(nèi)存訪問。成功利用漏洞可能使攻擊者能夠在瀏覽器的上下文中執(zhí)行任意代碼。如果將此應(yīng)用程序配置為在系統(tǒng)上具有較少的用戶權(quán)限，則與配置了管理權(quán)限的情況相比，利用其中最嚴(yán)重的漏洞的影響可能較小。

2.CVE-2020-15961，CVE-2020-15963 嚴(yán)重程度：高

攻擊者可以誘使用戶安裝惡意擴(kuò)展程序，使其有可能通過精心制作的 Chrome 擴(kuò)展程序執(zhí)行沙箱逃逸。（沙箱原理是將程序運(yùn)行在一個(gè)隔離的空間內(nèi)，且在沙箱中運(yùn)行的程序可讀不可寫，從而避免程序?qū)﹄娔X的其它程序和數(shù)據(jù)造成永久性的修改或造成破壞。沙箱逃逸就是惡意程序代碼突破沙箱限制對(duì)電腦進(jìn)行破壞）

3.CVE-2020-15962  嚴(yán)重程度：高

該漏洞可能允許遠(yuǎn)程攻擊者通過精心制作的 HTML 頁面執(zhí)行越界內(nèi)存訪問。

4.CVE-2020-15965  嚴(yán)重程度：高

Google Chrome 和 Chromium Web 瀏覽器開發(fā)的開源 JavaScript 引擎 V8 中存在越界寫入漏洞。該漏洞可能使遠(yuǎn)程攻擊者有可能通過精心制作的 HTML 頁面執(zhí)行越界內(nèi)存訪問。

谷歌表示，目前尚無有關(guān)這些漏洞在外被利用的報(bào)道。谷歌敦促易受攻擊的 Chrome 用戶立即進(jìn)行安全更新，并提醒用戶 “不要訪問不受信任的網(wǎng)站或跟蹤未知或不受信任的來源提供的鏈接。”

受影響產(chǎn)品和版本

Google Chrome 85.0.4183.121 之前的版本會(huì)受到影響

解決方案

Windows，Mac 和 Linux 用戶升級(jí) Chrome 85.0.4183.121 版本可修復(fù)上述漏洞

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問官網(wǎng)：

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html