关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城金币兑换
问下360浏览器的内核版本好像是78, 请问有影响吗?

一、漏洞情况分析

2021 年 4 月 14 日,国家信息安全漏洞共享平台收录了 Google Chrome 远程代码执行漏洞,CNVD 对该漏洞的综合评级为“高危”。

未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。

沙盒是计算机领域的一种虚拟技术,多用于计算机安全防控。

它可以通过重定向专技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,就可以先让它在沙盒中运行。

如果用户在沙箱中运行的下载包含恶意代码,则将被浏览器禁止进一步运行,这样它就无法访问或感染用户的计算机系统了。

正常情况下,Chrome 浏览器是默认开启沙盒保护模式的。



二、漏洞影响范围

漏洞影响的产品版本包括:

Google Chrome < = 89.0.4389.114。

也就是说,截止目前所有版本的 Chrome 浏览器都存在风险。



共 2 个关于关于最近谷歌浏览器爆出的版本低于90的Chrome沙盒漏洞的回复 最后回复于 2021-4-29 14:47

评论

直达楼层

upon LV5.少尉 发表于 2021-4-19 16:01 | 显示全部楼层 | 私信
已升级 90 ,不是360浏览器
苏格拉没底 产品答疑师 发表于 2021-4-29 14:47 | 显示全部楼层 | 私信
本帖最后由 苏格拉没底 于 2021-4-29 14:49 编辑
亲爱的天鹏元帅,感谢您对360的关心与专业的提问,答复如下:

360集团旗下浏览器用户安装新版本后不必担心该漏洞风险。

鉴于该漏洞的高危影响,360浏览器第一时间针对该漏洞进行紧急修复发版,能够免疫此高危0day漏洞的攻击,保护用户数据和财产安全。
以下浏览器版本及后续版本均进行了漏洞修复,用户可到360浏览器官网下载安装:https://browser.360.cn/
●360安全浏览器(Windows版、信创X86版)>=10.4.1005.68
●360极速浏览器(Windows版、macOS版)>=12.2.1637.0
●360企业安全浏览器(Windows版、信创X86版)>=10.3.1004.26
●360企业安全浏览器(Windows版、macOS版)>=12.1.2000.272

同步该漏洞处置详情如下:
漏洞风险等级:
2021年4月13日,国外安全研究员发布了Google Chrome浏览器远程代码执行0Day漏洞的利用详情。攻击者利用该漏洞可以构造特制的Web页面,用户访问该页面时,攻击者即可实现远程代码执行,该漏洞被评为9.8分,漏洞等级:严重。

安全分析:
经过360安全大脑分析,该漏洞利用与内核版本有一定相关,目前能准确复现的内核版本有Chromium83/86/89,而Chromium70/75/78版本暂时对该漏洞利用免疫,从代码分析来看,原因为漏洞利用没有匹配。

除此以外,360安全大脑进一步分析该漏洞复现条件(缺一不可):
条件一:X86架构CPU,包括Intel、AMD、兆芯、海光等;
条件二:浏览器运行在64位模式。

应对措施:
1、下载更新漏洞修复版本360浏览器
2、企业浏览器用户请确认安全沙盒处于开启状态。具体可以查看chrome://version,启动参数中若出现“—no-sandbox”即为关闭(如下图),请自行打开沙盒或联系企业管理员协助
3、提高安全意识,保持良好的上网习惯。不随意点击来源不明的链接、打开不明浏览器快捷方式等,并定期检测操作系统和常用软件漏洞,及时打好补丁。

再次感谢您的关心与支持!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

天鹏元帅 LV3.中士

粉丝:2 关注:0 积分:226

精华:1 金币:48 经验:168

最后登录时间:2021-4-19

私信 加好友

最新活动

感恩小报

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表