关于最近谷歌浏览器爆出的版本低于90的Chrome沙盒漏洞

问下360浏览器的内核版本好像是78， 请问有影响吗？

一、漏洞情况分析

2021 年 4 月 14 日，国家信息安全漏洞共享平台收录了 Google Chrome 远程代码执行漏洞，CNVD 对该漏洞的综合评级为“高危”。

未经身份验证的攻击者利用该漏洞，可通过精心构造恶意页面，诱导受害者访问，实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒（SandBox）逃逸。

沙盒是计算机领域的一种虚拟技术，多用于计算机安全防控。

它可以通过重定向专技术，把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时，就可以先让它在沙盒中运行。

如果用户在沙箱中运行的下载包含恶意代码，则将被浏览器禁止进一步运行，这样它就无法访问或感染用户的计算机系统了。

正常情况下，Chrome 浏览器是默认开启沙盒保护模式的。



二、漏洞影响范围

漏洞影响的产品版本包括：

Google Chrome < = 89.0.4389.114。

也就是说，截止目前所有版本的 Chrome 浏览器都存在风险。

已升级 90 ，不是360浏览器

亲爱的天鹏元帅，感谢您对360的关心与专业的提问，答复如下：

360集团旗下浏览器用户安装新版本后不必担心该漏洞风险。

鉴于该漏洞的高危影响，360浏览器第一时间针对该漏洞进行紧急修复发版，能够免疫此高危0day漏洞的攻击，保护用户数据和财产安全。
以下浏览器版本及后续版本均进行了漏洞修复，用户可到360浏览器官网下载安装：https://browser.360.cn/
●360安全浏览器（Windows版、信创X86版）>=10.4.1005.68
●360极速浏览器（Windows版、macOS版）>=12.2.1637.0
●360企业安全浏览器（Windows版、信创X86版）>=10.3.1004.26
●360企业安全浏览器（Windows版、macOS版）>=12.1.2000.272

同步该漏洞处置详情如下：
漏洞风险等级：
2021年4月13日，国外安全研究员发布了Google Chrome浏览器远程代码执行0Day漏洞的利用详情。攻击者利用该漏洞可以构造特制的Web页面，用户访问该页面时，攻击者即可实现远程代码执行，该漏洞被评为9.8分，漏洞等级：严重。

安全分析：
经过360安全大脑分析，该漏洞利用与内核版本有一定相关，目前能准确复现的内核版本有Chromium83/86/89，而Chromium70/75/78版本暂时对该漏洞利用免疫，从代码分析来看，原因为漏洞利用没有匹配。

除此以外，360安全大脑进一步分析该漏洞复现条件（缺一不可）：
条件一：X86架构CPU，包括Intel、AMD、兆芯、海光等；
条件二：浏览器运行在64位模式。

应对措施：
1、下载更新漏洞修复版本360浏览器
2、企业浏览器用户请确认安全沙盒处于开启状态。具体可以查看chrome://version，启动参数中若出现“—no-sandbox”即为关闭(如下图)，请自行打开沙盒或联系企业管理员协助
3、提高安全意识，保持良好的上网习惯。不随意点击来源不明的链接、打开不明浏览器快捷方式等，并定期检测操作系统和常用软件漏洞，及时打好补丁。

再次感谢您的关心与支持！

cc