鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Chromium V8 JavaScript引擎远程代码执行误差

宣布时间 2021-04-13

0x00 误差概述

CVE ID		时间	2021-04-13
类型	RCE	等级	高危
远程使用	是	影响规模
PoC/EXP	已果真	在野使用

0x01 误差详情

克日，，，，，清静研究职员在基于Chromium的浏览器中的V8 JavaScript引擎中发明了一个远程代码执行误差。。。

Chrome沙箱是浏览器的清静界线，，，，，可避免远程代码执行误差在主机上启动程序，，，，，该误差单独使用时现在无法逃逸浏览器的沙箱，，，，，因此该误差需要与另一个误差链接在一起来使用，，，，，最终可以实现沙箱逃逸。。。

该误差的PoC已果真，，，，，若是在基于Chromium的浏览器中加载PoC HTML文件及其对应的JavaScript文件，，，，，它将使用此误差启动Windows盘算器（calc.exe）程序。。。

影响规模

Google Chrome 89.0.4389.114(已测试)

Microsoft Edge 89.0.774.76(已测试)

0x02 处置惩罚建议

现在该误差已在V8 JavaScript引擎的最新版本中修复，，，，，但尚不清晰何时宣布，，，，，建议关注Google官方宣布的清静更新。。。

官方链接：

https://chromereleases.googleblog.com/search/label/Stable%20updates

0x03 参考链接

https://www.bleepingcomputer.com/news/security/google-chrome-microsoft-edge-zero-day-vulnerability-shared-on-twitter/

https://twitter.com/r4j0x00/status/1381643526010597380

https://github.com/r4j0x00/exploits/tree/master/chrome-0day

0x04 时间线

2021-04-13 PoC果真

2021-04-13 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】