谷歌升级了它的Chrome网络浏览器,一共修补了8个漏洞,包含4个评分为高风险的漏洞。在其中3个是浏览器应用后的漏洞,漏洞很有可能会使浏览器的存储空间中造成不正确,为服务器被侵入和浏览器被黑客入侵留有了安全隐患。
上周五,网络信息安全和基础设施建设安全性组织(CISA)公布了安全性公示,督促客户和网络信息安全管理人员尽早升级运用。该组织警示说,这种漏洞可以被网络攻击用于操纵受漏洞危害的系统软件。
依据谷歌12月的安全性公示,谷歌写到:
假如要手动式升级Chrome浏览器得话,请浏览手机客户端右上角的Chrome的下拉列表。在该菜单中选择 "协助",随后挑选 "有关谷歌浏览器"。开启该下级菜单会自动启动Chrome浏览器升级作用。
谷歌表明,现阶段每一个漏洞的有关关键点暂不表露,要直到大部分客户升级修补才可以表露。它还强调,假如其它机器设备或服务平台采用的第三方代码库中存有漏洞时,漏洞的关键技术的细腻水平可能受限制。
三个高风险漏洞各自包含运行内存的释放出来后的再应用漏洞,还涉及到Chrome的剪切板漏洞、新闻媒体和拓展部件的漏洞。这种漏洞被序号为CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。
第四个高风险漏洞(CVE-2020-16040)危害了谷歌开源系统的被称作V8的性能卓越的JavaScript和WebAssembly模块。该漏洞被觉得是数据信息缺乏认证造成的,在某种情形下,它为跨站脚本攻击给予了概率。
谷歌的V8 JavaScript模块当月也收到了第二个漏洞,这也是2022年12月汇报的2个中危漏洞之一,序号为CVE-2020-16042,该漏洞被觉得是运用了V8的 "未复位应用 "的特点。从谷歌公布的通告中还不清楚该漏洞的实际特性。但网络信息安全科研工作人员觉得这种未复位应用的漏洞是"大部分可以忽略的",而且通常 "被觉得是微乎其微的内存错误"。
依据佐治亚理工学校2017年发布的调查报告,这种漏洞事实上是一种可以有效的被网络黑客使用的很重要的进攻媒介,它可以在Linux核心中开展管理权限提高进攻。
第二个中危漏洞(CVE-2020-16041)是一个 "互联网中的越境载入 "漏洞。这也许会让网络黑客不正当地浏览运行内存中的目标。尽管CVE的关键技术也未被发布,但这些类别的漏洞很有可能会容许没经身份验证的网络黑客向受漏洞危害的手机软件推送故意信息。因为缺乏信息的认证,可执行程序很有可能会奔溃。
谷歌感激了这几个安全性科研工作人员,她们为当月的漏洞鉴别作出了奉献。因Ryoya Tsukasaki发觉了Chrome剪切板中的内存优化后再应用漏洞(CVE-2020-16037)而遭受了谷歌的感激,该科学研究工作人员得到了5000美金的漏洞悬赏金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也由于她们为找寻漏洞作出的勤奋而遭受谷歌的嘉奖感激。
文中翻譯自:https://threatpost.com/google_chrome_bugs_patched/161907/