当前位置:首页-正文

谷歌浏览器最新稳定版已修复编号CVE-2020-6457的UaF安全漏洞

谷歌浏览器上周已经向稳定版通道推送 81.0.4044.113版,目前多数用户已经升级因此谷歌公布部分漏洞的细节。

此次漏洞方面主要修复的是 Qihoo 360 通报的 USE AFTER FREE (UaF) 漏洞,该漏洞牵涉内存损毁危害性较高。

漏洞位于谷歌浏览器的语音识别组件中,从谷歌描述来看此漏洞还牵涉到第三方组件库所以谷歌不愿意透露信息。

谷歌担心第三方的组件库如果仍然还未修复漏洞则可能会造成安全问题,所以谷歌只简单介绍该漏洞的相关情况。

危害较高可被远程触发:

USE AFTER FREE是在浏览器里非常常见的安全漏洞,当然虽然常见但并不意味着这种类型的安全漏洞危害较小。

相反此类漏洞多数牵涉内存因此具有较高的危害,例如攻击者可借助漏洞控制程序流绕过正常的安全检查步骤等。

比如攻击者想要向内存写入不受信的代码就可以借助这类漏洞实现,同时此类漏洞还可以通过远程方式进行触发。

据谷歌通报该漏洞影响Chrome for Windows、Linux、Mac、Android版 ,  诸如ChromeOS等版本未受到影响。

建议使用谷歌浏览器的用户保持浏览器自动更新不要禁用自动更新服务,具体版本信息可点击关于页面查看最新。

谷歌浏览器最新稳定版已修复编号CVE-2020-6457的UaF安全漏洞

本文来源蓝点网,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。