本周第二起Google Chrome远程代码执行0Day漏洞事件通报

时间 :  2021年04月15日  来源:  安天CERT


1、概述


        2021年4月14日,安天CERT发现安全研究员发布了一个Google Chrome浏览器远程代码执行0Day漏洞的PoC,攻击者可以利用漏洞构造特制的页面,用户访问该页面会造成远程代码执行,漏洞影响Chrome目前最新正式版(90.0.4430.72),同时该漏洞也影响基于Chromium内核的Microsoft Edge正式版(89.0.774.77),目前以上两款浏览器已经默认运行在沙盒模式下,安天CERT测试该漏洞若被单独使用则不能击穿沙盒模式。但在实际攻击中,多个漏洞可能被组合使用击穿沙盒,带来极大安全威胁。由于Google Chrome和Microsoft Edge等浏览器在国内使用率较高,该漏洞存在被恶意代码利用进行大范围传播的风险,威胁等级高。

        同时,安天CERT测试发现部分国内使用Google Chrome内核的其他浏览器也受其影响。鉴于Chrome内核的浏览器在国内有广泛的应用,包括360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等,建议相关厂商迅速展开验证排查。

        注意:该漏洞为最新漏洞不同于安天2021年4月13号发布的《关于Google Chrome远程代码执行0Day漏洞通报》(该漏洞已于2021年4月14日谷歌更新的89.0.4389.128版本修复)。我们已经将最新漏洞情况紧急报送国家相关部门,安天CERT建议客户在尽快采取临时解决方案以避免受此漏洞影响。



2、漏洞详情


        安天CERT发现安全研究员发布了关于Google Chrome远程代码执行0Day漏洞的PoC详情[1]。Google Chrome是由Google开发的免费网页浏览器。此漏洞影响Chrome最新正式版(90.0.4430.72)以及所有低版本,攻击者可通过构造特殊的Web页面,诱导受害者访问,从而达到远程代码执行的目的。

图 2-1 安全研究员针对PoC的验证截图


        安天CERT跟进复现此漏洞,复现截图如下:

图 2-2 安天CERT针对Google Chrome 浏览器的PoC的验证截图


        安天CERT测试发现该漏洞也影响基于Chromium内核的Microsoft Edge正式版(89.0.774.77),但如果使用了沙盒模式则不受此漏洞影响(默认开启沙盒)。

图 2-3 安天CERT针对微软浏览器的PoC的验证截图


        安天CERT测试发现部分国内使用Google Chrome内核的其他浏览器默认设置情况下也受其影响。

图 2-4 某浏览器测试



3、受漏洞影响的版本范围


        该漏洞主要影响版本如下:

        Google Chrome浏览器90.0.4430.72以及以下相关版本

        Microsoft Edge正式版(89.0.774.77)



4、临时解决方案


        ● 建议用户避免打开来历不明的网页链接以及避免点击来源不明的邮件附件;

        ● 建议用户在虚拟机中执行Google Chrome和Microsoft Edge浏览器;

        ● 持续关注Google Chrome和Microsoft Edge官方网站更新动态,及时完成更新。



5、总结


        “在相关浏览器现有默认策略下进行漏洞复现结果说明:操作系统和应用本身的安全机制的持续增强,在攻击缓解方面能够起到一定的效果。但同时,随时保持版本更新和补丁升级,依然是非常必要的。系统自身安全策略设置、版本和补丁更新、第三方主机安全软件的主防机制的有效结合,都是非常必要的主机系统安全支点。”——引自安天2021年4月13号发布的《关于Google Chrome远程代码执行0Day漏洞通报》



附录一:参考资料


        [1]. 安全研究员的twitter

        https://twitter.com/frust93717815/status/1382301769577861123



附录二:关于安天


        安天致力于全面提升客户的网络安全防御能力,有效应对安全威胁。通过20年自主研发积累,安天形成了威胁检测引擎、高级威胁对抗、大规模威胁自动化分析等方面的技术领先优势。构筑由 铸岳、 智甲、 镇关、 探海、 捕风、 追影、 拓痕、 智信 组成的产品方阵,可以为客户构建资产运维、端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置等安全基础能力。安天通过为客户建设态势感知平台体系,形成网络安全运行的神经中枢,提升客户统一安全运维能力,并通过快捷精准的威胁情报持续完成客户赋能。安天的产品和解决方案保障客户从办公内网、私有云、混合云到工业生产网络的全面安全,保障客户关键数据资产安全和业务运行连续性。使客户能有效应对从病毒传播感染、网络勒索乃至情报级别的攻击窃密的不同层级的威胁,为客户数字化转型保驾护航。

        安天为网信主管部门、军队、保密、部委行业和关键信息基础设施等高安全需求客户,提供整体安全解决方案,产品与服务为载人航天、探月工程、空间站对接、大飞机首飞、主力舰护航、南极科考等提供了安全保障。参与了2005年后历次国家重大政治社会活动的安保工作,并多次获得杰出贡献奖、安保先进集体等称号。

        安天是全球基础安全供应链的核心赋能方,全球近百家安全企业、IT企业选择安天作为检测能力合作伙伴,目前,安天的威胁检测引擎为全球超过八十万台网络设备和网络安全设备、超过二十三亿部智能终端设备提供了安全检测能力。安天的移动检测引擎获得国际知名测试机构颁发的2013年度权威评测奖项。

        安天是中国应急响应体系中重要的企业节点,在“红色代码”、“口令蠕虫”、“心脏出血”、“破壳”、“魔窟”等重大安全威胁和病毒疫情方面,实现了先发预警和全面应急响应。安天针对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体(如APT组织)及其攻击行动,进行持续监测和深度解析,协助客户在“敌情想定”下形成有效防护,通过深度分析高级网空威胁行为体的作业能力,安天建立了以实战化对抗场景为导向的能力体系。

        安天实验室更多信息请访问:http://www.antiy.com(中文)        http://www.antiy.net (英文)

        安天企业安全公司更多信息请访问:http://www.antiy.cn

        安天移动安全公司(AVL TEAM)更多信息请访问:http://www.avlsec.com