谷歌在本周二的公告中披露了 Chrome 浏览器五个高度严重的漏洞。根据与应用程序相关的特权,攻击者可以查看,更改或删除数据 。据谷歌称,成功利用其中最严重的漏洞可能使攻击者能够在浏览器的上下文中执行任意代码。
以下是漏洞详情:
漏洞详情
1. CVE-2020-15960 严重程度:高
该堆缓冲区溢出(越界读取)漏洞可能允许远程攻击者通过精心制作的 HTML 页面执行超出范围的内存访问。成功利用漏洞可能使攻击者能够在浏览器的上下文中执行任意代码。如果将此应用程序配置为在系统上具有较少的用户权限,则与配置了管理权限的情况相比,利用其中最严重的漏洞的影响可能较小。
2.CVE-2020-15961,CVE-2020-15963 严重程度:高
攻击者可以诱使用户安装恶意扩展程序,使其有可能通过精心制作的 Chrome 扩展程序执行沙箱逃逸。(沙箱原理是将程序运行在一个隔离的空间内,且在沙箱中运行的程序可读不可写,从而避免程序对电脑的其它程序和数据造成永久性的修改或造成破坏。沙箱逃逸就是恶意程序代码突破沙箱限制对电脑进行破坏)
3.CVE-2020-15962 严重程度:高
该漏洞可能允许远程攻击者通过精心制作的 HTML 页面执行越界内存访问。
4.CVE-2020-15965 严重程度:高
Google Chrome 和 Chromium Web 浏览器开发的开源 JavaScript 引擎 V8 中存在越界写入漏洞。该漏洞可能使远程攻击者有可能通过精心制作的 HTML 页面执行越界内存访问。
谷歌表示,目前尚无有关这些漏洞在外被利用的报道。谷歌敦促易受攻击的 Chrome 用户立即进行安全更新,并提醒用户 “不要访问不受信任的网站或跟踪未知或不受信任的来源提供的链接。”
受影响产品和版本
Google Chrome 85.0.4183.121 之前的版本会受到影响
解决方案
Windows,Mac 和 Linux 用户升级 Chrome 85.0.4183.121 版本可修复上述漏洞
查看更多漏洞信息 以及升级请访问官网:
https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
华为 Pura70 系列突然先锋开售,你抢到了吗?对于这次的新机来说,除了一如既往的优雅设计和强悍的硬件配置外,我们更为关注的则是其全球首发的「楼层级设备查找」功能,软实力也可以很硬核!
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。