本周第二起Google Chrome远程代码执行0 day漏洞事件通报

1、概述

2021年4月14日，安天CERT发现安全研究员发布了一个Google Chrome浏览器远程代码执行0Day漏洞的PoC，攻击者可以利用漏洞构造特制的页面，用户访问该页面会造成远程代码执行，漏洞影响Chrome目前最新正式版（90.0.4430.72），同时该漏洞也影响基于Chromium内核的Microsoft Edge正式版（89.0.774.77），目前以上两款浏览器已经默认运行在沙盒模式下，安天CERT测试该漏洞若被单独使用则不能击穿沙盒模式。但在实际攻击中，多个漏洞可能被组合使用击穿沙盒，带来极大安全威胁。由于Google Chrome和Microsoft Edge等浏览器在国内使用率较高，该漏洞存在被恶意代码利用进行大范围传播的风险，威胁等级高。

同时，安天CERT测试发现部分国内使用Google Chrome内核的其他浏览器也受其影响。鉴于Chrome内核的浏览器在国内有广泛的应用，包括360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等，建议相关厂商迅速展开验证排查。

注意:该漏洞为最新漏洞不同于安天2021年4月13号发布的《关于Google Chrome远程代码执行0Day漏洞通报》（该漏洞已于2021年4月14日谷歌更新的89.0.4389.128版本修复）。我们已经将最新漏洞情况紧急报送国家相关部门，安天CERT建议客户在尽快采取临时解决方案以避免受此漏洞影响。

2、漏洞详情

安天CERT发现安全研究员发布了关于Google Chrome远程代码执行0Day漏洞的PoC详情[1]。Google Chrome是由Google开发的免费网页浏览器。此漏洞影响Chrome最新正式版（90.0.4430.72）以及所有低版本，攻击者可通过构造特殊的Web页面，诱导受害者访问，从而达到远程代码执行的目的。

图 2-1 安全研究员针对PoC的验证截图

安天CERT跟进复现此漏洞，复现截图如下：

图 2-2 安天CERT针对Google Chrome 浏览器的PoC的验证截图

安天CERT测试发现该漏洞也影响基于Chromium内核的Microsoft Edge正式版（89.0.774.77），但如果使用了沙盒模式则不受此漏洞影响（默认开启沙盒）。

图 2-3 安天CERT针对微软浏览器的PoC的验证截图

安天CERT测试发现部分国内使用Google Chrome内核的其他浏览器默认设置情况下也受其影响。

图 2-4 某浏览器测试

3、受漏洞影响的版本范围

该漏洞主要影响版本如下：

Google Chrome浏览器90.0.4430.72以及以下相关版本

Microsoft Edge正式版（89.0.774.77）

4、临时解决方案

· 建议用户避免打开来历不明的网页链接以及避免点击来源不明的邮件附件；

· 建议用户在虚拟机中执行Google Chrome和Microsoft Edge浏览器；

· 持续关注Google Chrome和Microsoft Edge官方网站更新动态，及时完成更新。

5、总结

“在相关浏览器现有默认策略下进行漏洞复现结果说明：操作系统和应用本身的安全机制的持续增强，在攻击缓解方面能够起到一定的效果。但同时，随时保持版本更新和补丁升级，依然是非常必要的。系统自身安全策略设置、版本和补丁更新、第三方主机安全软件的主防机制的有效结合，都是非常必要的主机系统安全支点。”——引自安天2021年4月13号发布的《关于Google Chrome远程代码执行0Day漏洞通报》

附录一：参考资料

[1]. 安全研究员的twitter

https://twitter.com/frust93717815/status/1382301769577861123