谷歌在匿名消息来源的提示下,修补了两个在野外被利用的Chrome零日;谷歌在三周内修补了五个Chrome零日

2020-11-12 07:20:47

谷歌今天发布了Chrome版本86.0.4240.198,修补了两个在野外被利用的零日漏洞。

这两个漏洞标志着谷歌在过去三周内对Chrome进行了第四次和第五次零日补丁。

这一次的不同之处在于,虽然最初的三个零日是由谷歌安全研究人员在内部发现的,但这两个新的零日是在匿名消息来源提供线索后引起谷歌的注意的。

在写这篇文章的时候,关于使用Chrome两个零日的攻击的细节还没有公开。

根据Chrome 86.0.4240.198更改日志,跟踪并描述了这两个零日:

CVE-2020-16013-被描述为V8中不适当的实现,其中V8是处理Javascript代码的Chrome组件。

CVE-2020-16017-描述为在网站隔离中免费使用的内存损坏漏洞,这是一个将每个网站的数据彼此隔离的Chrome组件。

目前尚不清楚这两个漏洞是一起使用的、作为利用漏洞链的一部分使用的,还是单独使用的。第一起是周一报道的,第二起是今天早些时候,也就是周三报道的。

谷歌10月20日修补的Chrome的FreeType字体渲染库中出现了零日。这一Chrome零日与微软昨天打了补丁的Windows零日版本(CVE-2020-15999)一起使用。

CVE-2020年-16009-第二个零日,也是在Chrome的V8 JavaScript引擎中,谷歌于11月2日打了补丁。

CVE-2020-16010:第三个零日,这次是Chrome for Android,影响了浏览器的用户界面(UI)组件。

大多数零日通常用于针对少数选定目标的定向攻击,因此大多数用户不应不必要地恐慌。

虽然目前还不清楚对普通用户的危险程度,但Chrome用户仍被建议尽快通过浏览器的内置更新功能(参见Chrome菜单、帮助选项和关于Google Chrome浏览器部分)更新到v86.0.4240.198。