谷歌更新了它的Chrome网络浏览器,总共修复了8个漏洞,包括4个评级为高危的漏洞。其中3个是浏览器使用后的漏洞,漏洞可能会使浏览器的内存中产生错误,为主机被入侵和浏览器被黑客攻击留下了隐患。
上周五,网络安全和基础设施安全机构(CISA)发布了安全公告,敦促用户和信息安全管理员尽快更新应用。该机构警告说,这些漏洞可以被攻击者用来控制受漏洞影响的系统。
根据谷歌12月的安全公告,谷歌写道:此前的Windows、macOS和Linux版本的Chrome桌面浏览器都容易受到攻击。将在未来几天或几周内推出新版的浏览器,更新后的87.0.4280.88版本的Chrome浏览器将会修补这些漏洞。
如果要手动更新Chrome浏览器的话,请访问客户端右上方的Chrome的下拉菜单。在该菜单中选择 "帮助",然后选择 "关于谷歌浏览器"。打开该菜单项会自动启动Chrome浏览器更新功能。
谷歌表示,目前每个漏洞的相关细节暂不透露,要等到大多数用户更新修复才可以透露。它还指出,如果其他设备或平台使用的第三方代码库中存在漏洞时,漏洞的技术细节的细致程度将会受到限制。
三个高危漏洞分别包括内存的释放后的再使用漏洞,还涉及Chrome的剪贴板漏洞、媒体和扩展组件的漏洞。这些漏洞被编号为CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。
第四个高危漏洞(CVE-2020-16040)影响了谷歌开源的被称为V8的高性能的JavaScript和WebAssembly引擎。该漏洞被认为是数据缺少验证导致的,在某些情况下,它为跨站脚本攻击提供了可能性。
谷歌的V8 JavaScript引擎本月也收到了第二个漏洞,这是今年12月报告的两个中危漏洞之一,编号为CVE-2020-16042,该漏洞被认为是利用了V8的 "未初始化使用 "的特性。从谷歌发布的公告中还不清楚该漏洞的具体性质。但网络安全研究人员认为这类未初始化使用的漏洞是"基本上可以被忽视的",并且通常 "被认为是微不足道的内存错误"。
根据佐治亚理工学院2017年发表的研究报告,这些漏洞实际上是一种可以很好地被黑客利用的很重要的攻击载体,它可以在Linux内核中进行权限提升攻击。
第二个中危漏洞(CVE-2020-16041)是一个 "网络中的越界读取 "漏洞。这可能会让黑客不正当地访问内存中的对象。虽然CVE的技术细节也未被公布,但这种类型的漏洞可能会允许未经身份认证的黑客向受漏洞影响的软件发送恶意消息。由于缺少消息的验证,目标程序可能会崩溃。
谷歌感谢了这几位安全研究人员,他们为本月的漏洞识别做出了贡献。因Ryoya Tsukasaki发现了Chrome剪贴板中的内存释放后再使用漏洞(CVE-2020-16037)而受到了谷歌的感谢,该研究人员获得了5000美元的漏洞赏金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也因为他们为寻找漏洞做出的努力而受到谷歌的表彰感谢。
