首頁 > 安全研究 > 安全通報 > 安全通告

Chromium V8 JavaScript引擎遠程代碼執行漏洞

發布時間 2021-04-13

0x00 漏洞概述

CVE  ID


時    間

2021-04-13

類   型

RCE

等    級

高危

遠程利用

影響范圍


PoC/EXP

已公開

在野利用


 

0x01 漏洞詳情

image.png

 

近日,安全研究人員在基于Chromium的瀏覽器中的V8 JavaScript引擎中發現了一個遠程代碼執行漏洞。

Chrome沙箱是瀏覽器的安全邊界,可防止遠程代碼執行漏洞在主機上啟動程序,該漏洞單獨利用時目前無法逃逸瀏覽器的沙箱,因此該漏洞需要與另一個漏洞鏈接在一起來利用,最終可以實現沙箱逃逸。

該漏洞的PoC已公開,如果在基于Chromium的瀏覽器中加載PoC HTML文件及其對應的JavaScript文件,它將利用此漏洞啟動Windows計算器(calc.exe)程序。

image.png

 

影響范圍

Google Chrome 89.0.4389.114(已測試)

Microsoft Edge 89.0.774.76(已測試)

 

0x02 處置建議

目前該漏洞已在V8 JavaScript引擎的最新版本中修復,但尚不清楚何時發布,建議關注Google官方發布的安全更新。

官方鏈接:

https://chromereleases.googleblog.com/search/label/Stable%20updates

 

0x03 參考鏈接

https://www.bleepingcomputer.com/news/security/google-chrome-microsoft-edge-zero-day-vulnerability-shared-on-twitter/

https://twitter.com/r4j0x00/status/1381643526010597380

https://github.com/r4j0x00/exploits/tree/master/chrome-0day

 

0x04 時間線

2021-04-13  PoC公開

2021-04-13  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇