信息化觀察網(wǎng)

谷歌更新了它的Chrome網(wǎng)絡瀏覽器，總共修復了8個漏洞，包括4個評級為高危的漏洞。其中3個是瀏覽器使用后的漏洞，漏洞可能會使瀏覽器的內(nèi)存中產(chǎn)生錯誤，為主機被入侵和瀏覽器被黑客攻擊留下了隱患。

上周五，網(wǎng)絡安全和基礎設施安全機構(gòu)（CISA）發(fā)布了安全公告，敦促用戶和信息安全管理員盡快更新應用。該機構(gòu)警告說，這些漏洞可以被攻擊者用來控制受漏洞影響的系統(tǒng)。

根據(jù)谷歌12月的安全公告，谷歌寫道：

此前的Windows、macOS和Linux版本的Chrome桌面瀏覽器都容易受到攻擊。將在未來幾天或幾周內(nèi)推出新版的瀏覽器，更新后的87.0.4280.88版本的Chrome瀏覽器將會修補這些漏洞。

如果要手動更新Chrome瀏覽器的話，請訪問客戶端右上方的Chrome的下拉菜單。在該菜單中選擇 "幫助"，然后選擇 "關于谷歌瀏覽器"。打開該菜單項會自動啟動Chrome瀏覽器更新功能。

谷歌表示，目前每個漏洞的相關細節(jié)暫不透露，要等到大多數(shù)用戶更新修復才可以透露。它還指出，如果其他設備或平臺使用的第三方代碼庫中存在漏洞時，漏洞的技術(shù)細節(jié)的細致程度將會受到限制。

三個高危漏洞分別包括內(nèi)存的釋放后的再使用漏洞，還涉及Chrome的剪貼板漏洞、媒體和擴展組件的漏洞。這些漏洞被編號為CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。

第四個高危漏洞（CVE-2020-16040）影響了谷歌開源的被稱為V8的高性能的JavaScript和WebAssembly引擎。該漏洞被認為是數(shù)據(jù)缺少驗證導致的，在某些情況下，它為跨站腳本攻擊提供了可能性。

谷歌的V8 JavaScript引擎本月也收到了第二個漏洞，這是今年12月報告的兩個中危漏洞之一，編號為CVE-2020-16042，該漏洞被認為是利用了V8的 "未初始化使用 "的特性。從谷歌發(fā)布的公告中還不清楚該漏洞的具體性質(zhì)。但網(wǎng)絡安全研究人員認為這類未初始化使用的漏洞是"基本上可以被忽視的"，并且通常 "被認為是微不足道的內(nèi)存錯誤"。

根據(jù)佐治亞理工學院2017年發(fā)表的研究報告，這些漏洞實際上是一種可以很好地被黑客利用的很重要的攻擊載體，它可以在Linux內(nèi)核中進行權(quán)限提升攻擊。

第二個中危漏洞(CVE-2020-16041)是一個 "網(wǎng)絡中的越界讀取 "漏洞。這可能會讓黑客不正當?shù)卦L問內(nèi)存中的對象。雖然CVE的技術(shù)細節(jié)也未被公布，但這種類型的漏洞可能會允許未經(jīng)身份認證的黑客向受漏洞影響的軟件發(fā)送惡意消息。由于缺少消息的驗證，目標程序可能會崩潰。

谷歌感謝了這幾位安全研究人員，他們?yōu)楸驹碌穆┒醋R別做出了貢獻。因Ryoya Tsukasaki發(fā)現(xiàn)了Chrome剪貼板中的內(nèi)存釋放后再使用漏洞（CVE-2020-16037）而受到了谷歌的感謝，該研究人員獲得了5000美元的漏洞賞金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也因為他們?yōu)閷ふ衣┒醋龀龅呐Χ艿焦雀璧谋碚酶兄x。