网络安全

预警通报

网络安全预警通报 第十九期(2021.4.14)
时间:2021-04-14   


 网络安全预警通报

2021年第3   (总第19期)

西安交通大学网络信息中心    2021414

_____________________________________________

【预警类型】高危预警

预警内容

关于Google Chrome存在远程代码执行漏洞的安全公告

 安全公告编号:CNTA-2021-0015

2021414日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码执行漏洞(CNVD-2021-27989)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商尚未发布新版本修复该漏洞。

一、漏洞情况分析

Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于WebKitMozilla等开源软件开发,目标是提升稳定性、速度和安全性,并创造出简单、有效的使用者界面。

2021414日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击,但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是Google Chrome浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。Google Chrome浏览器默认开启沙盒保护模式。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

Google Chrome < = 89.0.4389.114

三、漏洞处置建议

CNVD建议用户使用Google Chrome浏览器时不关闭默认沙盒模式,同时谨慎访问来源不明的网页链接或文件。

当前Google公司已经就此漏洞对浏览器发布升级版本,电脑联网后可以自动完成升级。国内用户可在谷歌国内网站下载或者升级:

在线包:https://www.google.cn/chrome/        

离线包: https://www.google.cn/chrome/?standalone=1

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-27989

版权所有:西安交通大学 站点建设与维护: 网络信息中心 服务电话:82667777(兴庆)、88961111(创新港)

地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703  邮编:710049