Chrome又爆一枚新0Day(远程代码执行漏洞),腾讯安全已复现,建议用户谨慎处理可疑URL及邮件

2021-04-15 09:46:21
2021年4月14日,互联网上公开了一份Chrome V8引擎远程代码执行0day漏洞POC(https://github.com/avboy1337/1195777-chrome0day),经腾讯安全专家验证,该漏洞影响Chrome最新正式版(90.0.4430.72)以及基于Chromium内核的Microsoft Edge正式版(89.0.774.77)以下版本。

2021414日,互联网上公开了一份Chrome V8引擎远程代码执行0day漏洞POC(https://github.com/avboy1337/1195777-chrome0day),经腾讯安全专家验证,该漏洞影响Chrome最新正式版(90.0.4430.72)以及基于Chromium内核的Microsoft Edge正式版(89.0.774.77)以下版本。

 

攻击者可通过构造特制web页面并诱导受害者点击访问,以此触发漏洞执行远程代码。这个新增的0day漏洞与413日公开的0Day漏洞(https://v2.s.tencent.com/research/report/42)不是同一个漏洞。目前,该0day漏洞仍未修复。但漏洞poc(概念验证代码)已公开,很可能被攻击者利用。

 

漏洞编号:暂缺

 

漏洞等级:高危,严重级

 

漏洞描述:

腾讯安全验证测试,此0day漏洞影响 Chrome 最新正式版(90.0.4430.72)以及基于Chromium内核的Microsoft Edge正式版(89.0.774.77)以下版本。

 

攻击者可通过构造特制web页面并诱导受害者访问来利用此漏洞获得远程代码执行。

 

Google Chrome是由Google开发的免费网页浏览器。许多第三方浏览器使用Chromium内核,这些浏览器同样会受漏洞影响。

 

受影响的版本:

Google Chrome <= 90.0.4430.72

基于Chromium内核的Microsoft Edge <= 89.0.774.77

其他基于V8引擎的第三方浏览器

 

漏洞复现和验证:

腾讯安全专家已对网络公开的该漏洞POC进行验证(Chrome最新版90.0.4430.72打开POC页,浏览器崩溃,弹出记事本程序)

 

Edge浏览器最新版89.0.774.77同样受影响。