易坊好文馆

  1. 首页 > 玩科技 >

漏洞|谷歌官方致谢,360 Alpha Lab协助修复Chrome四大高危漏洞

场景 用户 企业 浏览器 办公 漏洞 四大 Chrome Lab Alpha 沙箱

最近 , 在360安全大脑的赋能下 , 360 Alpha Lab连续为谷歌Chrome发现四枚“高危”级别漏洞:分别为Chrome拖拽模块中的UAF(释放后使用)漏洞(CVE-2021-21107)、Chrome媒体组件中的UAF(释放后使用)漏洞(CVE-2021-21108)、Chrome支付模块中的UAF(释放后使用)漏洞(CVE-2021-21109)、Chrome安全浏览模块中的UAF(释放后使用)漏洞(CVE-2021-21115) 。
发现上述漏洞后 , 360 Alpha Lab第一时间向谷歌Chrome官方报告 , 并协助其顺利修复相关漏洞 。 日前 , 谷歌发布补丁更新公告 , 并公开致谢360政企安全集团360 Alpha Lab实验室研究人员 , 对此次漏洞提报及修复过程中给予的帮助 。

漏洞|谷歌官方致谢,360 Alpha Lab协助修复Chrome四大高危漏洞
文章图片

图:谷歌Chrome官方致谢
四大“沙箱外漏洞” , 直击Chrome主进程
此次 , 360 Alpha Lab连续发现4个Chrome漏洞 , 均为浏览器主进程代码中的漏洞 。 由于上述4个漏洞均位于浏览器沙箱外 , 因而可被攻击者用于突破浏览器沙箱限制 , 进而完全控制用户浏览器 , 安全威胁异常严峻 。
最为严重的是CVE-2021-21107漏洞 。 该漏洞可在无额外交互下触发 , 用户一旦访问了攻击者构造的恶意页面 , 攻击者便可能悄无声息地在用户系统中执行任意代码 , 获取用户敏感数据 , 最严重甚至可能接管整个系统 。
另外 , 还需要注意的是CVE-2021-21108漏洞 。 该漏洞出现在Chrome媒体流处理模块中 , 是一处处理标签页监听功能时造成的UAF问题 , 利用该漏洞同样可劫持代码控制流 , 进而获取浏览器沙箱外权限 , 使攻击者执行部署恶意代码 , 危及用户个人乃至企业信息安全 。
360安全浏览器:更安全的企业办公体验
数字化办公时代 , 浏览器已逐渐成为办公场景的主要“入口” , 承载着企业协同办公、工单管理、客户管理等系统的运行 。 但随着近几年浏览器漏洞数量的攀升 , 让浏览器漏洞成为了企业办公场景下 , 随时可能洞穿企业内网 , 威胁企业数字资产安全的存在 。 360安全浏览器从2007年发布第一款至今 , 经过十多年技术沉淀 , 已经形成良性闭环的漏洞修复体系 , 很好的保障了产品的稳定性、安全性的平衡 。 跨平台支持Windows、macOS , 全面兼容包括龙芯、飞腾、鲲鹏、兆芯、海光等国产CPU , 以及UOS、麒麟、中科方德、红旗、普华等的国产操作系统 。
【漏洞|谷歌官方致谢,360 Alpha Lab协助修复Chrome四大高危漏洞】相比于传统浏览器 , 360安全浏览器兼集中管控、企业数据防护、安全大脑赋能、跨平台适配、商用密码算法支持、应用兼容等六大优势于一身 。 尤其是针对企业场景注入360安全大脑的核心能力 , 为终端安全、通讯安全、上网安全、行为安全、数据安全等多个维度提供防护机制 , 并将业务相关的安全策略开放给管理员统一管理 , 提升办公场景中的整体安保能力 。

    推荐阅读


    上一篇:技术|迪拜Cusp技术公司推出新型电磁反无人机系统

    下一篇:vivo|拼多多承认删除图片:将对产品做改进