奇安信代碼安全實驗室協助谷歌修復Chrome沙箱外高危漏洞 獲官方致謝
釋出日期:2021-01-06 作者:奇安信
奇安信代碼安全實驗室研究員為谷歌Chrome發現一個“高危”級別的沙箱外漏洞 (CVE-2020-21106),第一時間報告並協助其修復漏洞。北京時間2021年1月7日,谷歌發佈了補丁更新公告以及致謝公告,公開致謝奇安信代碼安全實驗室研究人員。
圖 谷歌官方致謝
漏洞概述
CVE-2020-21106 –Chrome自動填充組件中的使用後釋放漏洞
谷歌 Chrome 的自動填充組件中存在一個釋放後使用漏洞,該漏洞位於瀏覽器沙箱外,易被攻擊者利用。未認證的遠程攻擊者可構造惡意網頁,誘騙受害者訪問,從而在受害者系統上執行任意代碼。如遭成功利用,該漏洞可使易受攻擊的系統遭攻陷。
谷歌已發佈修復方案,用户應儘快更新至最新版本 87.0.4280.141。
參考鏈接
https://chromereleases.googleblog.com/
關於奇安信代碼衞士
基於奇安信代碼安全實驗室多年的技術積累,奇安信在國內率先推出了自主可控的源代碼安全分析系統——奇安信代碼衞士和奇安信開源衞士。奇安信代碼衞士是一套靜態應用程序安全測試系統,可檢測1300多種源代碼安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多種編程語言。
奇安信開源衞士是一套集開源軟件識別與安全管控於一體的軟件成分分析系統,通過智能化數據收集引擎在全球範圍內獲取開源軟件信息和漏洞信息,幫助客户掌握開源軟件資產狀況, 及時獲取開源軟件漏洞情報,降低由開源軟件帶來的安全風險,奇安信開源衞士目前可識別4000多萬個開源軟件版本,兼容NVD、CNNVD、CNVD等多個漏洞庫。