MicrosoftInternetExplorer402DocumentNotSpecified7.8lbNormal0近日,在360安全大脑的强力赋能下,360AlphaLab连续发现四大漏洞针对谷歌浏览器的“高危”级别漏洞:Chrome拖放模块UAF(释放后使用)漏洞(CVE-2021-21107),Chrome媒体组件UAF(释放后使用)漏洞(CVE-2021-21108),Chrome支付模块中的UAF(免费后使用)漏洞(CVE-2021-21109),Chrome安全浏览模块中的UAF(免费后使用)漏洞(CVE-2021-21115)。在发现上述漏洞后,360AlphaLab第一时间向谷歌Chrome官方报告,并协助其顺利修复了相关漏洞。日前,谷歌发布补丁更新公告,公开感谢360政企安全组360阿尔法实验室的研究人员帮助报告和修复漏洞。图:谷歌浏览器官方感谢四个“沙盒外漏洞”,直击Chrome主进程。这次,360AlphaLab连续发现了四个Chrome漏洞,都是浏览器主进程代码中的漏洞。由于以上四个漏洞位于浏览器沙箱之外,攻击者可以利用它们突破浏览器沙箱的限制,进而完全控制用户的浏览器。安全威胁极其严重。最严重的是CVE-2021-21107漏洞。无需额外交互即可触发此漏洞。一旦用户访问了攻击者构建的恶意页面,攻击者就可能在用户系统中悄悄执行任意代码,获取用户敏感数据,最坏的情况下,甚至接管整个系统。此外,还需要关注CVE-2021-21108漏洞。该漏洞发生在Chrome媒体流处理模块,是处理tab监听功能导致的UAF问题。利用该漏洞还可以劫持代码控制流,进而获取浏览器沙箱外的权限,让攻击者执行和部署恶意代码,危及用户个人乃至企业信息的安全。360安全浏览器:更安全的企业办公体验数字化办公时代,浏览器逐渐成为办公场景的主要“入口”,承载着企业协同办公、工单管理、客户管理等系统的运行.然而,随着近年来浏览器漏洞数量的增加,浏览器漏洞已经成为企业办公场景中的一个问题,随时可能渗透到企业内网,威胁企业数字资产的安全。360安全浏览器自2007年第一版发布以来,经过十余年的技术沉淀,形成了良性闭环的漏洞修复体系,保证了产品稳定性和安全性的平衡。跨平台支持Windows和macOS,全面兼容龙芯、飞腾、鲲鹏、兆芯、海光等国产CPU,以及UOS、麒麟、中科方德、红旗、普华等国产操作系统。与传统浏览器相比,360安全浏览器具有集中管控、企业数据保护、安全大脑赋能、跨平台适配、商用加密算法支持、应用兼容等六大优势。特别是将360安全大脑的核心能力注入企业场景,提供终端安全、通信安全、互联网安全、行为安全、数据安全等多个维度的防护机制,开放业务相关的安全策略,管理员统一管理,提升办公场景整体安全能力。政企多终端用户可前往https://browser.360.cn/se/ver/ent.html?src=b.360.cn或直接扫描下方二维码进行注册和注册预约。详情可拨打400-0309-360咨询。
