一、概述

2021年4月13日，安天CERT發(fā)現(xiàn)國外安全研究員發(fā)布了Google Chrome瀏覽器遠(yuǎn)程代碼執(zhí)行0Day漏洞的PoC，攻擊者可以利用漏洞構(gòu)造特制的頁面，用戶訪問該頁面會(huì)造成遠(yuǎn)程代碼執(zhí)行，漏洞影響Chrome最新正式版(89.0.4389.114)以及所有低版本。安天CERT跟進(jìn)復(fù)現(xiàn)，由于Google Chrome瀏覽器在國內(nèi)使用率較高，該漏洞存在被惡意代碼利用進(jìn)行大范圍傳播的風(fēng)險(xiǎn)，威脅等級高。同時(shí)安天CERT測試發(fā)現(xiàn)部分國內(nèi)使用Google Chrome內(nèi)核的其他瀏覽器也受其影響。目前如Microsoft Edge 等瀏覽器都已經(jīng)默認(rèn)運(yùn)行在沙盒模式下，安天CERT測試該漏洞若被單獨(dú)使用則不能擊穿Chrome的沙盒模式，但并不意味著，這不是一個(gè)嚴(yán)重的漏洞，因?yàn)樵趯?shí)際攻擊中，多個(gè)漏洞可能被組合使用，若該漏洞與其他穿透沙盒的漏洞組合使用，則可能具有極大安全威脅。

鑒于Chrome內(nèi)核的瀏覽器在國內(nèi)有廣泛的應(yīng)用，包括360安全瀏覽器、遨游瀏覽器、搜狗瀏覽器、極速瀏覽器等，建議相關(guān)廠商迅速展開驗(yàn)證排查。我們已經(jīng)緊急報(bào)送國家相關(guān)部門，建議客戶在盡快采取臨時(shí)解決方案以避免受此漏洞影響。

二、漏洞詳情

安天CERT發(fā)現(xiàn)國外安全研究員發(fā)布了關(guān)于Google Chrome遠(yuǎn)程代碼執(zhí)行0Day漏洞的PoC詳情[1]。Google Chrome是由Google開發(fā)的免費(fèi)網(wǎng)頁瀏覽器。此漏洞影響Chrome最新正式版(89.0.4389.114)以及所有低版本，攻擊者可通過構(gòu)造特殊的Web頁面，誘導(dǎo)受害者訪問，從而達(dá)到遠(yuǎn)程代碼執(zhí)行的目的。

圖2-1 國外安全研究員針對PoC的驗(yàn)證截圖

安天CERT跟進(jìn)復(fù)現(xiàn)此漏洞，復(fù)現(xiàn)截圖如下：

圖2-2 安天CERT針對PoC的驗(yàn)證截圖

安天CERT測試發(fā)現(xiàn)部分使用Google Chrome內(nèi)核的其他瀏覽器也受其影響，但使用Chrome內(nèi)核的瀏覽器如果使用了沙盒模式則不受此漏洞影響。

圖2-3 某瀏覽器測試圖

三、受漏洞影響的版本范圍

該漏洞主要影響版本： 89.0.4389.114以及以下版本

四、臨時(shí)解決方案

• 建議用戶避免打開來歷不明的網(wǎng)頁鏈接以及避免點(diǎn)擊來源不明的郵件附件;
• 建議用戶在虛擬機(jī)中執(zhí)行Google Chrome瀏覽器;
• 持續(xù)關(guān)注Google Chrome官方網(wǎng)站更新動(dòng)態(tài)，及時(shí)完成更新。

五、總結(jié)

在相關(guān)瀏覽器現(xiàn)有默認(rèn)策略下進(jìn)行漏洞復(fù)現(xiàn)結(jié)果說明：操作系統(tǒng)和應(yīng)用本身的安全機(jī)制的持續(xù)增強(qiáng)，在攻擊緩解方面能夠起到一定的效果。但同時(shí)，隨時(shí)保持版本更新和補(bǔ)丁升級，依然是非常必要的。系統(tǒng)自身安全策略設(shè)置、版本和補(bǔ)丁更新、第三方主機(jī)安全軟件的主防機(jī)制的有效結(jié)合，都是非常必要的主機(jī)系統(tǒng)安全支點(diǎn)。