云安全日报200825:谷歌浏览器发现任意代码执行高危漏洞,需要尽快升级
发布时间:2024-06-22 点击:114
8月24日,谷歌chrome浏览器爆出一个高危漏洞,可以用来执行任意代码。google将于本周内推出chrome 85正式稳定版更新来修复此漏洞。以下是漏洞详情:
漏洞详情
代码执行漏洞(cve-2020-6492)
css评分:8.3 高危
该漏洞是chrome浏览器的webgl(web图形库)组件中的一个释放后重用(use-after-free )漏洞。webgl是一个可以让用户在浏览器中渲染2d以及3d图像的java脚本 api。这个漏洞源于webgl无法正确地处理内存对象而导致的。此漏洞存在于angle的一个函数中,称为“ state :: synctextures”。该函数负责检查纹理是否具有“ dirtybits”。这些是“位集”,指示与计算机内存块关联的特定状态值是否已更改。攻击者可以通过名为drawarraysinstanced的函数执行易受攻击的代码。当纹理对象尝试同步状态时(通过“ texture :: syncstate函数”),它将在释放条件后创建一个用法。释放后使用是由于释放内存后尝试访问内存,这可能导致程序崩溃或潜在地导致执行任意代码。通过适当的内存布局操纵,攻击者可以完全控制此释放后使用漏洞,最终可能导致在浏览器上下文中任意执行代码。
此漏洞在cvss评级中为8.3(满分为10),意味着它是一个高危漏洞。研究人员表示chrome浏览器以及其他项目中的opengl以及direct3d内的兼容层angle最容易受到攻击。
受影响产品和版本
此漏洞影响google chrome 81.0.4044.138(stable),84.0.4136.5(dev)和84.0.4143.7(canary)
解决方案
该漏洞已在chrome 85稳定版渠道中修复,该渠道将于本周向用户推出。在正式版还未推出前,该修补程序也可通过google chrome的beta通道版本获得。
来源:
google fixes high-severity chrome browser code execution bug
高防服务器哪家靠谱
收到邮件要维护 -云服务器问题
域名补齐插件-其他问题
[SEO分享]教你建设高端企业网站的终极秘诀!点进来看看!
网站如何免费认证搜狗搜索引擎(附操作)
腾讯云服务器域名备案要多久才能通过呢
SQL server 服务器性能优化
便宜的台湾云服务器推荐
漏洞详情
代码执行漏洞(cve-2020-6492)
css评分:8.3 高危
该漏洞是chrome浏览器的webgl(web图形库)组件中的一个释放后重用(use-after-free )漏洞。webgl是一个可以让用户在浏览器中渲染2d以及3d图像的java脚本 api。这个漏洞源于webgl无法正确地处理内存对象而导致的。此漏洞存在于angle的一个函数中,称为“ state :: synctextures”。该函数负责检查纹理是否具有“ dirtybits”。这些是“位集”,指示与计算机内存块关联的特定状态值是否已更改。攻击者可以通过名为drawarraysinstanced的函数执行易受攻击的代码。当纹理对象尝试同步状态时(通过“ texture :: syncstate函数”),它将在释放条件后创建一个用法。释放后使用是由于释放内存后尝试访问内存,这可能导致程序崩溃或潜在地导致执行任意代码。通过适当的内存布局操纵,攻击者可以完全控制此释放后使用漏洞,最终可能导致在浏览器上下文中任意执行代码。
此漏洞在cvss评级中为8.3(满分为10),意味着它是一个高危漏洞。研究人员表示chrome浏览器以及其他项目中的opengl以及direct3d内的兼容层angle最容易受到攻击。
受影响产品和版本
此漏洞影响google chrome 81.0.4044.138(stable),84.0.4136.5(dev)和84.0.4143.7(canary)
解决方案
该漏洞已在chrome 85稳定版渠道中修复,该渠道将于本周向用户推出。在正式版还未推出前,该修补程序也可通过google chrome的beta通道版本获得。
来源:
google fixes high-severity chrome browser code execution bug
高防服务器哪家靠谱
收到邮件要维护 -云服务器问题
域名补齐插件-其他问题
[SEO分享]教你建设高端企业网站的终极秘诀!点进来看看!
网站如何免费认证搜狗搜索引擎(附操作)
腾讯云服务器域名备案要多久才能通过呢
SQL server 服务器性能优化
便宜的台湾云服务器推荐
下一篇:内网穿透搭建网站和云服务器