GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Chromium V8 JavaScript引擎远程代码执行缝隙

颁布功夫 2021-04-13

0x00 缝隙概述

CVE ID		时间	2021-04-13
类型	RCE	等级	高危
远程利用	是	影响领域
PoC/EXP	已公开	在野利用

0x01 缝隙详情

近日，安全钻研人员在基于Chromium的浏览器中的V8 JavaScript引擎中发现了一个远程代码执行缝隙。

Chrome沙箱是浏览器的安全天堑，可预防远程代码执行缝隙在主机上启动法式，该缝隙单独利用时目前无法逃逸浏览器的沙箱，因而该缝隙必要与另一个缝隙链接在一路来利用，最终能够实现沙箱逃逸。

该缝隙的PoC已公开，若是在基于Chromium的浏览器中加载PoC HTML文件及其对应的JavaScript文件，它将利用此缝隙启动Windows推算器（calc.exe）法式。

影响领域

Google Chrome 89.0.4389.114(已测试)

Microsoft Edge 89.0.774.76(已测试)

0x02 措置建议

目前该缝隙已在V8 JavaScript引擎的最新版本中建复，但尚不明显何时颁布，建议关注Google官方颁布的安全更新。

官方链接：

https://chromereleases.googleblog.com/search/label/Stable%20updates

0x03 参考链接

https://www.bleepingcomputer.com/news/security/google-chrome-microsoft-edge-zero-day-vulnerability-shared-on-twitter/

https://twitter.com/r4j0x00/status/1381643526010597380

https://github.com/r4j0x00/exploits/tree/master/chrome-0day

0x04 功夫线

2021-04-13 PoC公开

2021-04-13 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】