安全公告|Chrome又爆一枚新0Day缝隙

颁布功夫：2021-04-16

2021年4月14日，，，，，，全发国际网络CERT安全应急响应团队监测到国表钻研员在互联网上公开了一份Chrome远程代码执行0day缝隙POC，，，，，，经测试，，，，，，攻击者可通过机关特定Web页面诱导受害者接见，，，，，，导致此缝隙获得远程代码执行。。。。。。。。

缝霞述

Google Chrome是由Google开发的免费网页浏览器，，，，，，很多第三方浏览器使用Chromium内核。。。。。。。。该缝隙已经影响了Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）。。。。。。。。必要注明的是，，，，，，此枚缝隙与4月13日的Chrome 0Day缝隙并不是统一个缝隙。。。。。。。。鉴于该缝隙目前处于0Day缝隙状态，，，，，，强烈建议客户尽快采取一时解决规划以预防受此缝隙影响。。。。。。。。

2021年4月14日，，，，，，Chrome最新正式版（89.0.4389.128）更新蕴含2个安全建复法式:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220为4月13日爆出的Chrome远程代码执行缝隙。。。。。。。。

而于4月14日晚上8点左右互联网又爆出了本文提及的Chrome远程代码执行缝隙。。。。。。。。

影响领域

Google:Chrome: <=90.0.4430.72

威胁等级

高危

POC状态

当前缝隙POC已公开

缝隙复现

1.在Chrome 89.0.4389.128正式版本中缝隙复现：

全发国际(中国)有限公司官网

2.在Chrome 90.0.4430.72正式版本中缝隙复现：

全发国际(中国)有限公司官网

措置建议

鉴于该缝隙目前处于0Day缝隙状态，，，，，，无相应的缝隙补丁，，，，，，用户采取如下一时解决规划以预防受缝隙所导致风险影响：

1. 慎沉打开起源不明的文件或网页链接。。。。。。。。

2. 临时终场使用V8有关引擎的浏览器，，，，，，如Chrome、基于Chromium内核的Microsoft Edge，，，，，，换Firefox等浏览器。。。。。。。。

产品解决规划

RG-IDP系列入侵检测防御系统

RG-IDP系列入侵检测防御系统是全发国际网络推出的将深度内容检测、安全防护、上网行为治理等技术结合的入侵检测防御系统设备。。。。。。。。通过对网络中深层攻击行为进行正确的分析判断，，，，，，自动有效的保；；；；；；；ね绨踩。。。。。。。。RG—IDP系统入侵检测防御系统已支持对该缝隙的检测。。。。。。。。

RG-Scan系列缝隙评估系统

全发国际RG-Scan通过对系统缝隙、服务后门、网页挂马、SQL注入缝隙以及跨站剧本等攻击伎俩多年的钻研堆集，，，，，，总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术，，，，，，能够通过智能遍历规定库和多种扫描选项组合的伎俩，，，，，，深刻正确的检测出系统和网站中存在的缝隙和弱点。。。。。。。。

RG-WALL 系列全新下一代防火墙

RG-WALL系列全新下一代防火墙在安全能力上，，，，，，不仅支持NAT、ACL、DDoS防御等传统安全职能，，，，，，同时，，，，，，也支持丰硕的利用级安全职能，，，，，，蕴含病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。。。。。。。。提供多维度的利用层监控与分析，，，，，，援手用户把握风险，，，，，，精准预警。。。。。。。。同时支持与云安全中心的联动，，，，，，提供了立体有效的未知威胁防护规划。。。。。。。。

针对chrome浏览器远程代码执行，，，，，，请实时关注有关产品升级包更新情况。。。。。。。。实时升级包检测与防护升级包。。。。。。。。