Google telah membetulkan kerentanan penggunaan selepas bebas dalam komponen WebGL (Perpustakaan Grafik Web) penyemak imbas web Google Chrome Dengan berjaya mengeksploitasi kelemahan ini, penyerang boleh melaksanakan kod sewenang-wenangnya dalam konteks proses penyemak imbas.
WebGL ialah API JavaScript yang digunakan oleh penyemak imbas keserasian untuk memaparkan grafik 2D dan 3D interaktif tanpa menggunakan pemalam.
Google Chrome 85.0.4149.0 telah membetulkan kerentanan pelaksanaan kod ini.
Kerentanan pelaksanaan kod berisiko tinggi
Kerentanan pelaksanaan kod yang ditemui oleh Marcin Towalski, seorang jurutera penyelidik kanan di Cisco Talos, bernombor CVE-2020-6492 dan mempunyai skor CVSS v3 8.3.
Kerentanan ini mencetuskan ranap sistem apabila komponen WebGL gagal mengendalikan objek dalam memori dengan betul.
Menurut nasihat keselamatan Cisco Talos, kerentanan wujud dalam ANGLE, lapisan keserasian antara OpenGL dan Direct3D yang digunakan oleh penyemak imbas Chrome dan projek lain pada Windows.
Penyerang boleh mengeksploitasi kerentanan tanpa penggunaan ini dengan mengganggu susun atur memori yang betul, dan akhirnya melaksanakan kod arbitrari dalam persekitaran penyemak imbas untuk mencapai kawalan sepenuhnya.
CVE-2020-6492 mempengaruhi Google Chrome 81.0.4044.138 (Stabil), 84.0.4136.5 (Dev) dan 84.0.4143.7 (Canary).
Google ChromeKemas Kini Keselamatan
Terdahulu, versi stabil Google Chrome (Chrome 84 dan Chrome 83) masing-masing membetulkan 38 kelemahan, termasuk kelemahan Keselamatan yang dinilai sebagai sangat kritikal dan kritikal tinggi.
Chrome 84 juga mengoptimumkan perlindungan terhadap muat turun kandungan bercampur dan penipuan pemberitahuan penyemak imbas, sambil mengalih keluar protokol TLS yang tidak selamat (iaitu TLS1.0 dan 1.1).
Chrome 83 menyediakan pengguna dengan pelbagai perlindungan keselamatan dan privasi, termasuk kawasan tetapan "Privasi & Keselamatan" yang direka bentuk semula, ciri Pemeriksaan Keselamatan baharu, ciri Penyemakan Imbas Selamat baharu yang dipertingkatkan dan perlindungan kuki yang lebih baik kawalan, dan tetapan DoH yang dioptimumkan, dsb.
Disebabkan wabak yang masih belum reda, Google tidak mengeluarkan versi Chrome 82, tetapi memutuskan untuk melangkau versi ini dan meninggalkan semua pengubahsuaian kepada keluaran seterusnya.
Atas ialah kandungan terperinci Contoh analisis Google Chrome 85 membetulkan kerentanan pelaksanaan kod WebGL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!