谷歌更新了其Chrome网络浏览器,共修复了八个漏洞,其中四个被评为高危。其中三个是浏览器使用后的漏洞。该漏洞可能导致浏览器内存出现错误,为主机被入侵、浏览器被黑等留下隐患。周五,网络安全和基础设施安全局(CISA)发布了安全公告,敦促用户和信息安全管理员尽快更新该应用程序。该机构警告说,攻击者可能会利用这些漏洞来控制受这些漏洞影响的系统。根据谷歌12月的安全公告,谷歌写道:适用于Windows、macOS和Linux的旧版Chrome桌面浏览器存在漏洞。新版浏览器将在未来几天和几周内推出,更新后的87.0.4280.88版Chrome将修复这些漏洞。要手动更新Chrome,请访问客户端右上角的Chrome下拉菜单。从该菜单中选择帮助,然后选择关于GoogleChrome。打开这个菜单项会自动启动Chrome浏览器更新功能。谷歌表示,目前各漏洞的相关细节并未公开,待大部分用户更新修复后才会公开。它还指出,如果其他设备或平台使用的第三方代码库存在漏洞,那么漏洞的技术细节将受到限制。三个高危漏洞包括内存重用漏洞,还涉及Chrome的剪贴板漏洞、媒体和扩展组件。这些漏洞被跟踪为CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。第四个高危漏洞(CVE-2020-16040)影响Google的开源高性能JavaScript和WebAssembly引擎V8。该漏洞被认为是由缺少数据验证引起的,这在某些情况下可能会引发跨站点脚本攻击。谷歌的V8JavaScript引擎本月还收到了第二个漏洞,这是今年12月报告的两个中等严重漏洞之一,编号为CVE-2020-16042,据信该漏洞利用了V8的“未初始化使用”属性。从谷歌发布的公告来看,该漏洞的具体性质尚不清楚。但网络安全研究人员认为,此类使用未初始化漏洞“基本上可以忽略不计”,通常“被视为微不足道的内存错误”。根据佐治亚理工学院2017年发布的一份研究报告,这些漏洞实际上是一个非常重要的攻击向量,可以被黑客很好地利用,可以在Linux内核中进行提权攻击。第二个中等严重性漏洞(CVE-2020-16041)是“网络越界读取”漏洞。这可能允许黑客不正确地访问内存中的对象。虽然CVE的技术细节也未公布,但此类漏洞可能允许未经身份验证的黑客向受影响的软件发送恶意消息。由于缺乏对消息的验证,目标程序可能会崩溃。谷歌感谢为本月漏洞识别做出贡献的安全研究人员。谷歌感谢RyoyaTsukasaki发现了Chrome剪贴板中的释放后使用内存漏洞(CVE-2020-16037),并向该研究人员提供了5,000美元的漏洞赏金。KhalilZhani、LucasPinheiro、SergeiGlazunov、AndréBargull和MarkBrand也因其寻找漏洞的努力而获得了Google的认可。本文翻译自:https://threatpost.com/google_chrome_bugs_patched/161907/
