谷歌更新了它的Chrome网络浏览器,总共修复了8个漏洞,包括4个评级为高危的漏洞。其中3个是浏览器使用后的漏洞,漏洞可能会使浏览器的内存中产生错误,为主机被入侵和浏览器被黑客攻击留下了隐患。
上周五,网络安全和基础设施安全机构(CISA)发布了安全公告,敦促用户和信息安全管理员尽快更新应用。该机构警告说,这些漏洞可以被攻击者用来控制受漏洞影响的系统。
根据谷歌12月的安全公告,谷歌写道:
此前的Windows、macOS和Linux版本的Chrome桌面浏览器都容易受到攻击。将在未来几天或几周内推出新版的浏览器,更新后的87.0.4280.88版本的Chrome浏览器将会修补这些漏洞。 |
如果要手动更新Chrome浏览器的话,请访问客户端右上方的Chrome的下拉菜单。在该菜单中选择 "帮助",然后选择 "关于谷歌浏览器"。打开该菜单项会自动启动Chrome浏览器更新功能。
谷歌表示,目前每个漏洞的相关细节暂不透露,要等到大多数用户更新修复才可以透露。它还指出,如果其他设备或平台使用的第三方代码库中存在漏洞时,漏洞的技术细节的细致程度将会受到限制。
三个高危漏洞分别包括内存的释放后的再使用漏洞,还涉及Chrome的剪贴板漏洞、媒体和扩展组件的漏洞。这些漏洞被编号为CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。
第四个高危漏洞(CVE-2020-16040)影响了谷歌开源的被称为V8的高性能的JavaScript和WebAssembly引擎。该漏洞被认为是数据缺少验证导致的,在某些情况下,它为跨站脚本攻击提供了可能性。
谷歌的V8 JavaScript引擎本月也收到了第二个漏洞,这是今年12月报告的两个中危漏洞之一,编号为CVE-2020-16042,该漏洞被认为是利用了V8的 "未初始化使用 "的特性。从谷歌发布的公告中还不清楚该漏洞的具体性质。但网络安全研究人员认为这类未初始化使用的漏洞是"基本上可以被忽视的",并且通常 "被认为是微不足道的内存错误"。
根据佐治亚理工学院2017年发表的研究报告,这些漏洞实际上是一种可以很好地被黑客利用的很重要的攻击载体,它可以在Linux内核中进行权限提升攻击。
第二个中危漏洞(CVE-2020-16041)是一个 "网络中的越界读取 "漏洞。这可能会让黑客不正当地访问内存中的对象。虽然CVE的技术细节也未被公布,但这种类型的漏洞可能会允许未经身份认证的黑客向受漏洞影响的软件发送恶意消息。由于缺少消息的验证,目标程序可能会崩溃。
谷歌感谢了这几位安全研究人员,他们为本月的漏洞识别做出了贡献。因Ryoya Tsukasaki发现了Chrome剪贴板中的内存释放后再使用漏洞(CVE-2020-16037)而受到了谷歌的感谢,该研究人员获得了5000美元的漏洞赏金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也因为他们为寻找漏洞做出的努力而受到谷歌的表彰感谢。
本文翻译自:https://threatpost.com/google_chrome_bugs_patched/161907/
在前面的 《科普 | 什么是比特币?》 一文中,我们了解了什么是比特币及其运行原...
近日,Check Point研究人员发现了一系列与FreakOut 僵尸网络相关的攻击活动,主...
在过去几年里,数据隐私丑闻层出不穷,比如剑桥分析公司(CambridgeAnalytica)...
数字人民币到底能否取代支付宝和微信支付,成为主要的电子化支付工具? 11月25日...
目前,比特币的交易量和活跃地址已经超过了2017年上一轮加密牛市期间的历史高点...
如 前篇 介绍,目前大部分的联盟链平台,包括 FISCO BCOS,都采用 Solidity 作为...
2021年了,看看网络系统的流行架构,包括WAF,安全网关,负载均衡等。 系统的质...
互联建筑技术越来越有利于商业地产业主,因为他们可以通过互联网控制灯光、恒温...
对于身份验证系统如何在本地和国际的不同部门之间提供信任、信任和互操作性,有...
现如今,大家越来越注重于保护自己的个人数据,随着世界联系的越来越紧密,个人...