Google今日对于Windows、Mac及其Linux系统软件公布了Chrome 86.0.4240. 183升级。此次的升级可以处理很多的安全性问题,包含一个早已被别人利用,可以让攻击者实行随意代码的零日漏洞。
这一零日漏洞CVE代码为CVE-2020-16009,是由Google危害剖析组的Clement Lecigne及其Google project Zero的Samuel Groß在上月29日发觉的。这一系统漏洞是由V8的不合理实行而造成的,V8是Google的一款开源系统及根据C 而成的性能卓越WebAssembly及JavaScript模块。
虽然Google表明收到了有关CVE-2020-16009被别人利用及其进攻的汇报,可是她们并没给予有关这种进攻的详细信息:
- “在大部分客户还没有更新到最新版前,针对系统漏洞的详细资料及其联接的浏览会受限制。假如这一系统漏洞也出现于第三方库文件,而别的新项目必须借助这一库来运作得话,大家也会保存以上的限定对策。”
CVE-2020-16009是从上两个星期至今第二个被修复的Chrome零日漏洞,另一个是在FreeType文字3D渲染库文件的堆跨站脚本攻击零日漏洞。而上星期,Google Project Zero精英团队也宣布了一个已被利用的Windows核心漏洞利用零日漏洞CVE-2020-17087。
此外,Chrome 86.0.4240. 183版也修复了好多个别的的系统漏洞,包含一个在手机版Chrome上已有被利用的沙盒游戏肇事逃逸系统漏洞CVE-2020-16010、释放出来后利用系统漏洞CVE-2020-16004、ANGLE对策实行缺少系统漏洞CVE-2020-16005、另一个V8实行不合理系统漏洞CVE-2020-16007、WebRTC跨站脚本攻击系统漏洞CVE-2020-16008及其Windows UI内堆跨站脚本攻击(Heap buffer overflow)系统漏洞CVE-2020-16011。