多个高危漏洞可导致 Chrome 浏览器被黑

上周五，CISA 发布安全通告，督促用户和信息安全管理员应用更新。CISA 警告称这些漏洞可被攻击者用于“控制受影响系统“。

谷歌发布12月份的安全通告指出，之前的 Windows、macOS 和 Linux 版本的 Chrome 桌面浏览器易受攻击。更新后的 Chrome 版本 87.0.4280.88 解决了这些漏洞问题，并将于“几天/几周内推出“。

要手动更新 Chrome 浏览器，需访问右上角客户端的自定义下拉目录。从目录中选择“帮助“选项，之后选择“关于 Google Chrome” 选项。自动打开菜单目录将触发 Chrome 浏览器查找更新。

这8个漏洞的详情尚未公开。谷歌表示，“在大多数用户更新修复方案后“才会发布详情。另外需要注意的是，如果这些漏洞存在于或者如果用于其它设备或平台中的第三方库中，则技术详情将做有限的发布。

三个高危漏洞中均包含影响内存的释放后使用元素，和 Chrome 浏览器的剪贴板、媒体和扩展组件有关，编号为 CVE-2020-16037、CVE-2020-16038 和 CVE-2020-16039。

第四个高危漏洞 (CVE-2020-16040) 影响的是谷歌的开源高性能 JavaScript 和 WebAssembly 引擎 V8。该漏洞被指为数据验证不充分缺陷，在某些情况下可导致目标受跨站点脚本攻击。

谷歌的 V8 JavaScript 引擎还在本月收到了另外一个补丁，也是12月收到的两个中危漏洞之一：CVE-2020-16042。该问题是影响 V8 的 “ 未初始化使用” 漏洞。谷歌在安全通告中并未说明该缺陷的性质。网络安全研究员认为这些未初始化使用类型的漏洞“基本遭忽略”而且被“视为不重要的内存错误”。

佐治亚理工学院在2017年发布的一篇研究报告指出，“它们实际上是至关重要的攻击向量，可被黑客稳定地利用，在 Linux 内核中发动提权攻击。”

第二个中危漏洞（CVE-2020-16041） 是一个“位于网络中的界外读取”漏洞，可导致攻击者不正确地访问内存中的对象。虽然该CVE漏洞的详情尚未发布，但这种类型的漏洞可导致未认证攻击者向易受攻击的软件发送恶意信息。由于信息的有效性不充分，因此目标程序可能被强制崩溃。

谷歌向发现这些漏洞的研究人员致谢，其中发现 CVE-2020-16037 的研究员 Ryoya Tsukasaki 获得奖励5000美元。