最近,在360安全大脑的强势赋能下,360 Alpha Lab连续为谷歌Chrome发现四枚“高危”级别漏洞:
发现上述漏洞后,360 Alpha Lab第一时间向谷歌Chrome官方报告,并协助其顺利修复相关漏洞。日前,谷歌发布补丁更新公告,并公开致谢360政企安全集团360 Alpha Lab实验室研究人员,对此次漏洞提报及修复过程中给予的帮助。
四大“沙箱外漏洞”
直击Chrome主进程
此次,360 Alpha Lab连续发现4个Chrome漏洞,均为浏览器主进程代码中的漏洞。由于上述4个漏洞均位于浏览器沙箱外,因而可被攻击者用于突破浏览器沙箱限制,进而完全控制用户浏览器,安全威胁异常严峻。
最为严重的是CVE-2021-21107漏洞。该漏洞可在无额外交互下触发,用户一旦访问了攻击者构造的恶意页面,攻击者便可能悄无声息地在用户系统中执行任意代码,获取用户敏感数据,最严重甚至可能接管整个系统。
另外,还需要注意的是CVE-2021-21108漏洞。该漏洞出现在Chrome媒体流处理模块中,是一处处理标签页监听功能时造成的UAF问题,利用该漏洞同样可劫持代码控制流,进而获取浏览器沙箱外权限,使攻击者执行部署恶意代码,危及用户个人乃至企业信息安全。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
