关于最近谷歌浏览器爆出的版本低于90的Chrome沙盒漏洞
问下360浏览器的内核版本好像是78, 请问有影响吗?一、漏洞情况分析
2021 年 4 月 14 日,国家信息安全漏洞共享平台收录了 Google Chrome 远程代码执行漏洞,CNVD 对该漏洞的综合评级为“高危”。
未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。
沙盒是计算机领域的一种虚拟技术,多用于计算机安全防控。
它可以通过重定向专技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,就可以先让它在沙盒中运行。
如果用户在沙箱中运行的下载包含恶意代码,则将被浏览器禁止进一步运行,这样它就无法访问或感染用户的计算机系统了。
正常情况下,Chrome 浏览器是默认开启沙盒保护模式的。
二、漏洞影响范围
漏洞影响的产品版本包括:
Google Chrome < = 89.0.4389.114。
也就是说,截止目前所有版本的 Chrome 浏览器都存在风险。
已升级 90 ,不是360浏览器 本帖最后由 苏格拉没底 于 2021-4-29 14:49 编辑
亲爱的天鹏元帅,感谢您对360的关心与专业的提问,答复如下:
360集团旗下浏览器用户安装新版本后不必担心该漏洞风险。
鉴于该漏洞的高危影响,360浏览器第一时间针对该漏洞进行紧急修复发版,能够免疫此高危0day漏洞的攻击,保护用户数据和财产安全。
以下浏览器版本及后续版本均进行了漏洞修复,用户可到360浏览器官网下载安装:https://browser.360.cn/
●360安全浏览器(Windows版、信创X86版)>=10.4.1005.68
●360极速浏览器(Windows版、macOS版)>=12.2.1637.0
●360企业安全浏览器(Windows版、信创X86版)>=10.3.1004.26
●360企业安全浏览器(Windows版、macOS版)>=12.1.2000.272
同步该漏洞处置详情如下:
漏洞风险等级:
2021年4月13日,国外安全研究员发布了Google Chrome浏览器远程代码执行0Day漏洞的利用详情。攻击者利用该漏洞可以构造特制的Web页面,用户访问该页面时,攻击者即可实现远程代码执行,该漏洞被评为9.8分,漏洞等级:严重。
安全分析:
经过360安全大脑分析,该漏洞利用与内核版本有一定相关,目前能准确复现的内核版本有Chromium83/86/89,而Chromium70/75/78版本暂时对该漏洞利用免疫,从代码分析来看,原因为漏洞利用没有匹配。
除此以外,360安全大脑进一步分析该漏洞复现条件(缺一不可):
条件一:X86架构CPU,包括Intel、AMD、兆芯、海光等;
条件二:浏览器运行在64位模式。
应对措施:
1、下载更新漏洞修复版本360浏览器
2、企业浏览器用户请确认安全沙盒处于开启状态。具体可以查看chrome://version,启动参数中若出现“—no-sandbox”即为关闭(如下图),请自行打开沙盒或联系企业管理员协助
3、提高安全意识,保持良好的上网习惯。不随意点击来源不明的链接、打开不明浏览器快捷方式等,并定期检测操作系统和常用软件漏洞,及时打好补丁。
再次感谢您的关心与支持!
cc
页:
[1]