谷歌官方感谢360阿尔法实验室帮助修复Chrome的四个高风险漏洞

2021-01-14 20:02:43  来源:石家庄热线
  

最近,在360安全大脑的力量下,360alparab连续发现了谷歌铬的四个高风险级别的漏洞:铬拖放模块(CVE-2021-21107)中的UAF(发布后使用)漏洞、铬媒体组件中的UAF(发布后使用)漏洞(CVE-2021-21108)、铬支付模块中的UAF(发布后使用)漏洞(CVE-2021-21109)和铬安全浏览模块(CVE-2021-21115)中的UAF(发布后使用)漏洞。

在发现上述漏洞后,360Alparab立即向谷歌铬公司报告,并协助其顺利修复漏洞。几天前,谷歌发布了补丁更新公告,并公开感谢360名政府和企业安全组织360名实验室研究人员在报告和修复漏洞的过程中提供的帮助。

图片:谷歌铬官方感谢

四出沙箱漏洞,直接击中铬的主进程

这一次,360alparab连续发现了四个铬漏洞,所有这些都是浏览器主要进程代码中的漏洞。由于上述四个漏洞位于浏览器沙箱之外,攻击者可以利用这些漏洞突破浏览器沙箱限制,然后完全控制用户浏览器,安全威胁非常严重。

最严重的是cve-2021-21107漏洞。该漏洞可以通过无量外交触发。一旦用户访问攻击者构建的恶意页面,攻击者可能在用户系统中悄悄执行任意代码,获取用户敏感数据,甚至可能接管整个系统。

此外,需要注意的是CVE-2021-21108漏洞。该漏洞出现在铬媒体流处理模块中,这是由标记侦听功能引起的UAF问题。该漏洞还可以劫持代码控制流,然后获得浏览器沙箱外的权限,以便攻击者能够执行和部署恶意代码,并危及用户的个人甚至企业信息安全。

360安全浏览器:更安全的企业办公体验

在数字办公时代,浏览器已逐渐成为办公场景的主要入口,承载着企业协同办公、工作订单管理、客户管理等系统的运作。然而,随着近年来浏览器漏洞数量的增加,浏览器漏洞已经成为企业办公场景的存在,随时可能渗透到企业内部网络,威胁到企业数字资产的安全。360安全浏览器于2007年发布第一版,经过十多年的技术沉淀,形成了良性闭环漏洞修复系统,很好地保证了产品的稳定性、安全性平衡。跨平台支持Windows、MacOS,完全兼容龙芯、飞腾、昆鹏、兆新、海光等国内CPU,以及UOS、麒麟、中科方德、红旗、普华等国内操作系统。

与传统浏览器相比,360安全浏览器具有集中管理和控制、企业数据保护、安全脑授权、跨平台适配、商业密码算法支持、应用兼容性等六大优势,特别是对于企业场景注入360安全脑核心功能,为终端安全、通信安全、互联网安全、行为安全、数据安全等维度提供保护机制,以及开放给统一管理人员的与业务相关的安全策略,提高了办公场景的整体安全能力。

上一篇:资生堂新技术反旧品牌在上海全球上市

下一篇:最后一页
    
  • 日资讯排行榜
  • 周资讯排行榜
  • 月资讯排行榜