谷歌今天发布了适用于Windows、Mac和Linux系统的Chrome86.0.4240.183更新。此更新解决了许多安全问题,包括一个零日漏洞,该漏洞已被利用以允许攻击者执行任意代码。该零日漏洞的CVE代码为CVE-2020-16009,由谷歌威胁分析组的ClementLecigne和谷歌零项目的SamuelGro?于上月29日发现。该漏洞是由谷歌开源、基于C++的高性能WebAssembly和JavaScript引擎V8的不当实现引起的。尽管谷歌表示已收到CVE-2020-16009漏洞利用和攻击的报告,但他们并未提供有关这些攻击的详细信息:“在大多数用户升级到最新版本之前,漏洞的详细信息和访问连接将受到限制。如果第三方库也存在该漏洞,而其他项目需要依赖该库运行,我们也将保留上述限制。”CVE-2020-16009是最近两周以来的第二个Chrome零日漏洞,另一个是FreeType文本渲染库中的堆缓冲区溢出零日漏洞。而上周,谷歌零项目团队也公布了一个被利用的Windows内核提权零日漏洞CVE-2020-17087。此外,Chrome86.0.4240.183版本还修复了其他几个漏洞,包括已在Android版Chrome上被利用的沙箱逃逸漏洞CVE-2020-16010,以及发布后利用漏洞CVE-2020-16004,ANGLE策略缺失漏洞CVE-2020-16005、另一个V8不当执行漏洞CVE-2020-16007、WebRTC缓冲区溢出漏洞CVE-2020-16008和WindowsUI堆缓冲区溢出(Heapbufferoverflow)漏洞CVE-2020-16011。
