一、概述
2021年4月13日,安天CERT发现国外安全研究员发布了Google Chrome浏览器远程代码执行0Day漏洞的PoC,攻击者可以利用漏洞构造特制的页面,用户访问该页面会造成远程代码执行,漏洞影响Chrome最新正式版(89.0.4389.114)以及所有低版本。安天CERT跟进复现,由于Google Chrome浏览器在国内使用率较高,该漏洞存在被恶意代码利用进行大范围传播的风险,威胁等级高。同时安天CERT测试发现部分国内使用Google Chrome内核的其他浏览器也受其影响。目前如Microsoft Edge 等浏览器都已经默认运行在沙盒模式下,安天CERT测试该漏洞若被单独使用则不能击穿Chrome的沙盒模式,但并不意味着,这不是一个严重的漏洞,因为在实际攻击中,多个漏洞可能被组合使用,若该漏洞与其他穿透沙盒的漏洞组合使用,则可能具有极大安全威胁。
鉴于Chrome内核的浏览器在国内有广泛的应用,包括360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等,建议相关厂商迅速展开验证排查。我们已经紧急报送国家相关部门,建议客户在尽快采取临时解决方案以避免受此漏洞影响。
二、漏洞详情
安天CERT发现国外安全研究员发布了关于Google Chrome远程代码执行0Day漏洞的PoC详情[1]。Google Chrome是由Google开发的免费网页浏览器。此漏洞影响Chrome最新正式版(89.0.4389.114)以及所有低版本,攻击者可通过构造特殊的Web页面,诱导受害者访问,从而达到远程代码执行的目的。
图2-1 国外安全研究员针对PoC的验证截图
安天CERT跟进复现此漏洞,复现截图如下:
图2-2 安天CERT针对PoC的验证截图
安天CERT测试发现部分使用Google Chrome内核的其他浏览器也受其影响,但使用Chrome内核的浏览器如果使用了沙盒模式则不受此漏洞影响。
图2-3 某浏览器测试图
三、受漏洞影响的版本范围
该漏洞主要影响版本: 89.0.4389.114以及以下版本
四、临时解决方案
- 建议用户避免打开来历不明的网页链接以及避免点击来源不明的邮件附件;
- 建议用户在虚拟机中执行Google Chrome浏览器;
- 持续关注Google Chrome官方网站更新动态,及时完成更新。
五、总结
在相关浏览器现有默认策略下进行漏洞复现结果说明:操作系统和应用本身的安全机制的持续增强,在攻击缓解方面能够起到一定的效果。但同时,随时保持版本更新和补丁升级,依然是非常必要的。系统自身安全策略设置、版本和补丁更新、第三方主机安全软件的主防机制的有效结合,都是非常必要的主机系统安全支点。