11月2日,谷歌浏览器发布Windows、Mac和Linux版本86.0.4240.183,修复10个安全漏洞,其中1个高危0-day漏洞在野被利用——CVE-2020-16009。其中包括:CVE-2020-16004:用户界面中的高危UAF漏洞;CVE-2020-16005:ANGLE中的政策执行不足;CVE-2020-16006:在V8中实施不当;CVE-2020-16007:安装CVE-2020-16008:WebRTC中的堆栈缓冲区溢出;CVE-2020-16009:在V8中实施不当;CVE-2020-16011:Windows上UI中的堆缓冲区溢出漏洞。CVE-2020-16009CVE-2020-16009漏洞由Google零项目研究员Gro?和GoogleTAG研究员ClementLecigne于10月29日提交。随后,研究人员发现了对该漏洞的野外利用。因此,谷歌紧急发布了针对该漏洞的补丁,这是谷歌两周内修复的第二个野外0-day漏洞利用。谷歌零项目研究员BenHawkes表示,CVE-2020-16009漏洞是由V8JS渲染引擎实现不当导致的远程代码执行漏洞。CVE-2020-16010此外,Google修复了ChromeAndroid客户端的零日漏洞-CVE-2020-16010。谷歌目前还没有解释这两个漏洞的技术细节。本文翻译自:https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html如有转载请注明原文地址。
