Google现在已经在三周内修补了五个Chrome 0day漏洞
Google今天发布了Chrome版本86.0.4240.198,以修复两个在野被利用的零日漏洞。
这两个错误标志着过去三周Google在Chrome中修补的第四和第五个0day漏洞。
这次的区别是,尽管前三个0day漏洞是Google安全研究人员在内部发现的,但是这两个新的0day漏洞是在匿名来源提示后引起了Google的注意。
在撰写本文时,尚未公开使用过Chrome两个零日漏洞攻击的详细信息。
根据Chrome 86.0.4240.198更新日志,两个零日漏洞的跟踪和描述如下:
- CVE-2020-16013- 被描述为“ V8中不适当的实现 ”,其中V8是处理JavaScript代码的Chrome组件。
- CVE-2020-16017- 在网站隔离中被描述为“释放后使用”的内存损坏错误 ,该Chrome组件将每个网站的数据相互隔离。
目前尚不清楚这两个漏洞是作为漏洞利用链的一部分一起使用还是单独使用。第一个是在周一报道的,第二个是在今天早些时候的星期三报道的。
大多数零日攻击通常用于针对少数选定目标的定向攻击,因此大多数用户不必惊慌。[APT攻击]
虽然尚不清楚普通用户的危险程度,但仍建议Chrome用户尽快通过浏览器的内置更新功能(请参阅Chrome菜单,“帮助” 选项和“ 关于Google Chrome” 部分)更新到v86.0.4240.198。