在25日的Chrome更新中,Google修復了三個安全漏洞,其中包括一個正在遭受主動利用的0-day漏洞。
關於這些攻擊的詳情以及該漏洞是如何被用於攻擊Chrome用戶的,尚未公開。
發現這些攻擊的是Google的威脅分析小組成員Clement Lecigne,時間是在2月18日。 Google的威脅分析小組負責調查和追蹤惡意活動的團隊。
該0-day漏洞已在Chrome 80.0.3987.122版本中修復。 Windows,Mac和Linux用戶都有可用的更新,但是ChromeOS,iOS和Android用戶暫無可用的修補程式。
此0-day漏洞編號為CVE-2020-6418,漏洞描述只有 「V8中的類型混淆」 寥寥一句。
V8是Chrome的元件,負責處理JavaScript程式碼。
類型混淆,指在應用程式採用某個特定「類型」的輸入初始化資料執行操作,但卻被欺騙將該輸入當作不同的「類型」處理的過程中產生的編碼漏洞。
應用程式記憶體中的邏輯錯誤由於「類型混淆」而導致,攻擊者可以利用該漏洞在應用程式中運行不受限制的惡意程式碼。
這是過去一年中第三個遭到主動利用的Chrome 0-day漏洞。
Google去年3月修復了第一個Chrome 0-day漏洞(Chrome 72.0.3626.121中的CVE-2019-5786),接著在11月修復了第二個Chrome 0-day漏洞(Chrome 78.0.3904.8中的CVE-2019-13720)。
儘管Chrome 80.0.3987.122版本提供了另外兩個安全更新,但這兩個漏洞尚未被利用。建議用戶盡快更新Chrome。
以上是Google在主動攻擊下修復Chrome 0-day漏洞的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!
