11月2日，谷歌Chrome發(fā)布Windows、Mac和 Linux 86.0.4240.183版本，其中修復(fù)了10個安全漏洞，其中包含1個高危的在野利用0 day漏洞——CVE-2020-16009。其中包括：

CVE-2020-16004：用戶接口中的高危UAF 漏洞;

CVE-2020-16005：ANGLE中的策略執(zhí)行不充分;

CVE-2020-16006：V8 中的不當(dāng)實現(xiàn);

CVE-2020-16007：安裝器中的數(shù)據(jù)有效性驗證不足;

CVE-2020-16008：WebRTC 中的棧緩存溢出;

CVE-2020-16009：V8 中的不當(dāng)實現(xiàn);

CVE-2020-16011：Windows上UI 中的堆緩存溢出漏洞。

CVE-2020-16009

其中CVE-2020-16009 漏洞是在10月29日由谷歌Project Zero研究人員Groß和谷歌TAG 研究人員Clement Lecigne提交的。隨后，研究人員就發(fā)現(xiàn)了該漏洞的在野利用。因此，谷歌緊急發(fā)布了該漏洞的補丁，這是2周谷歌修復(fù)的第二個0 day在野利用漏洞。

谷歌Project Zero研究人員Ben Hawkes稱CVE-2020-16009漏洞是由于V8 JS渲染引擎不當(dāng)實現(xiàn)引發(fā)的遠程代碼執(zhí)行漏洞。

CVE-2020-16010

此外，谷歌還修復(fù)了Chrome安卓客戶端的一個0 day漏洞利用——CVE-2020-16010。

谷歌暫時并未就這2個漏洞的技術(shù)細節(jié)進行說明。

本文翻譯自：https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html如若轉(zhuǎn)載，請注明原文地址。