11月10日,谷歌发布了Chrome最新版本86.0.4240.193,该安全更新修复了Windows,Mac和Linux平台Chrome浏览器中一个远程执行任意代码漏洞。以下是漏洞详情:
漏洞详情
CWE-ID:CWE-119 远程执行任意代码 CVSS评分:7.7 高
该漏洞主要是由于内存缓冲区范围内的操作限制不当导致的。当程序或进程试图在缓冲区中存储比其预期保留的数据更多的数据时,就会发生缓冲区溢出。由于缓冲区只能保存特定数量的数据,因此当达到该容量时,数据必须流到其他地方,通常流入另一个缓冲区,这可能破坏该缓冲区中已经包含的数据。尽管缓冲区溢出可能是由于编程错误而偶然发生的,但缓冲区溢出已成为一种越来越普遍的针对数据完整性的安全攻击。在缓冲区溢出攻击中,额外的数据可能包含旨在触发特定操作,向受攻击的计算机发送新指令的代码,这些指令可能例如损坏用户的文件,更改数据或泄露机密信息。
该漏洞使远程攻击者可以在目标系统上执行任意代码。由于在处理由Google Chrome使用的第三方库中的HTML内容时出现边界错误,因此存在此漏洞。远程攻击者可以创建一个特制的网页,诱骗受害者打开该网页,触发内存损坏并在目标系统上执行任意代码。成功利用此漏洞可能会完全破坏易受攻击的系统。
受影响产品和版本
Windows,Linux ,Mac 平台 Chrome版本86.0.4240.193之前所有86.0.4240版本会受到漏洞影响
解决方案
谷歌已经针对Windows,Mac和Linux平台发布了一个稳定的频道更新版本Chrome86.0.4240.193,建议用户立即更新修复
查看更多漏洞信息 以及升级请访问官网:
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_9.html