信息化觀察網(wǎng)

谷歌更新了它的Chrome網(wǎng)絡(luò)瀏覽器，總共修復(fù)了8個(gè)漏洞，包括4個(gè)評(píng)級(jí)為高危的漏洞。其中3個(gè)是瀏覽器使用后的漏洞，漏洞可能會(huì)使瀏覽器的內(nèi)存中產(chǎn)生錯(cuò)誤，為主機(jī)被入侵和瀏覽器被黑客攻擊留下了隱患。

上周五，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機(jī)構(gòu)（CISA）發(fā)布了安全公告，敦促用戶和信息安全管理員盡快更新應(yīng)用。該機(jī)構(gòu)警告說，這些漏洞可以被攻擊者用來控制受漏洞影響的系統(tǒng)。

根據(jù)谷歌12月的安全公告，谷歌寫道：

此前的Windows、macOS和Linux版本的Chrome桌面瀏覽器都容易受到攻擊。將在未來幾天或幾周內(nèi)推出新版的瀏覽器，更新后的87.0.4280.88版本的Chrome瀏覽器將會(huì)修補(bǔ)這些漏洞。

如果要手動(dòng)更新Chrome瀏覽器的話，請(qǐng)?jiān)L問客戶端右上方的Chrome的下拉菜單。在該菜單中選擇 "幫助"，然后選擇 "關(guān)于谷歌瀏覽器"。打開該菜單項(xiàng)會(huì)自動(dòng)啟動(dòng)Chrome瀏覽器更新功能。

谷歌表示，目前每個(gè)漏洞的相關(guān)細(xì)節(jié)暫不透露，要等到大多數(shù)用戶更新修復(fù)才可以透露。它還指出，如果其他設(shè)備或平臺(tái)使用的第三方代碼庫(kù)中存在漏洞時(shí)，漏洞的技術(shù)細(xì)節(jié)的細(xì)致程度將會(huì)受到限制。

三個(gè)高危漏洞分別包括內(nèi)存的釋放后的再使用漏洞，還涉及Chrome的剪貼板漏洞、媒體和擴(kuò)展組件的漏洞。這些漏洞被編號(hào)為CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。

第四個(gè)高危漏洞（CVE-2020-16040）影響了谷歌開源的被稱為V8的高性能的JavaScript和WebAssembly引擎。該漏洞被認(rèn)為是數(shù)據(jù)缺少驗(yàn)證導(dǎo)致的，在某些情況下，它為跨站腳本攻擊提供了可能性。

谷歌的V8 JavaScript引擎本月也收到了第二個(gè)漏洞，這是今年12月報(bào)告的兩個(gè)中危漏洞之一，編號(hào)為CVE-2020-16042，該漏洞被認(rèn)為是利用了V8的 "未初始化使用 "的特性。從谷歌發(fā)布的公告中還不清楚該漏洞的具體性質(zhì)。但網(wǎng)絡(luò)安全研究人員認(rèn)為這類未初始化使用的漏洞是"基本上可以被忽視的"，并且通常 "被認(rèn)為是微不足道的內(nèi)存錯(cuò)誤"。

根據(jù)佐治亞理工學(xué)院2017年發(fā)表的研究報(bào)告，這些漏洞實(shí)際上是一種可以很好地被黑客利用的很重要的攻擊載體，它可以在Linux內(nèi)核中進(jìn)行權(quán)限提升攻擊。

第二個(gè)中危漏洞(CVE-2020-16041)是一個(gè) "網(wǎng)絡(luò)中的越界讀取 "漏洞。這可能會(huì)讓黑客不正當(dāng)?shù)卦L問內(nèi)存中的對(duì)象。雖然CVE的技術(shù)細(xì)節(jié)也未被公布，但這種類型的漏洞可能會(huì)允許未經(jīng)身份認(rèn)證的黑客向受漏洞影響的軟件發(fā)送惡意消息。由于缺少消息的驗(yàn)證，目標(biāo)程序可能會(huì)崩潰。

谷歌感謝了這幾位安全研究人員，他們?yōu)楸驹碌穆┒醋R(shí)別做出了貢獻(xiàn)。因Ryoya Tsukasaki發(fā)現(xiàn)了Chrome剪貼板中的內(nèi)存釋放后再使用漏洞（CVE-2020-16037）而受到了谷歌的感謝，該研究人員獲得了5000美元的漏洞賞金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也因?yàn)樗麄優(yōu)閷ふ衣┒醋龀龅呐Χ艿焦雀璧谋碚酶兄x。