首页
论坛
课程
招聘

【最新】Chrome远程代码执行0day分析报告

2021-04-13 16:27

一.  漏洞简介

2021年4月13日,星河学院监测发现国外安全研究员发布了Chrome远程代码执行漏洞的利用详情,攻击者利用该漏洞可远程执行系统命令。此外,大量基于Chrome内核的浏览器也存在该漏洞。



二.  漏洞描述


2.1  事件描述

攻击者利用此漏洞,可以构造一个恶意的web页面,当用户访问该页面时,会造成远程代码执行。


2.2  影响版本

Google-Chrome<=89.0.4389.114



三.  详细分析


3.1  事件的攻击流程


Poc参考地址:


https://github.com/r4j0x00/exploits/tree/master/chrome-0day


该漏洞成功利用需要chrome浏览器在关闭沙箱的条件下运行。


1、google浏览器增加“--no-sandbox”参数。

图片


2、访问部署了exp的网页,exp命令执行效果为调用系统计算器。

图片


四.  总结


针对该漏洞,建议广大用户及时关注Google官方正式版更新。目前Google紧急发布的测试版Chrome(90.0.4430.70)已修复该漏洞。同时,建议不要关闭谷歌浏览器的沙箱模式。


自2021开年来,谷歌共修复CVE-2021-21148、CVE-2021-21166、CVE-2021-21193等多个高危0day漏洞,建议大家及时关注官方更新信息。Chrome用户可通过浏览器点击设置>关于Chrome来更新到最新版本。



五.  参考链接


https://twitter.com/r4j0x00/status/1381643526010597380

https://github.com/r4j0x00/exploits/tree/master/chrome-0day



声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论