Google Chrome连续出现零日远程代码执行漏洞,影响微信等多款流行应用软件并已被攻击者利用

2021年4月13日至14日,我国网络安全企业安天公司连续发布了两条关于Google Chrome远程代码执行漏洞的安全公告,上述漏洞均为网络独立安全研究人员在Twitter上公开,且综合评级均为“高危”。攻击者可以利用该漏洞构造特制的钓鱼页面诱使受害人访问,实现远程代码执行。13日漏洞被公开(公开者为Twitter用户@r4j0x00)后,Google紧急发布了Chrome最新正式版90.0.4430.72修复了该漏洞,但14日另一个漏洞被公开(公开者为Twitter用户@frust93717815)且新漏洞利用细节也已经公开,但Google官方尚未发布更新版本修复该漏洞。 Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于WebKit、Mozilla等开源软件开发,目标是提升稳定性、速度和安全性,并创造出简单、有效的使用者界面。此次发现的漏洞能够影响最新版本的Chrome浏览器(90.0.4430.72),搭载Chromium内核的Microsoft Edge正式版(89.0.774.76),以及所有较低版本。攻击者可通过构造特殊的Web页面,诱导受害者访问,从而达到远程代码执行的目的。 研究人员表示,以上两款浏览器已经默认运行在沙盒(SandBox)模式下,沙盒是Google Chrome浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。安天CERT测试该漏洞被单独使用时无法击穿沙盒模式,但在实际攻击活动中,攻击者很可能组合使用多个漏洞击穿沙盒,带来极大安全威胁。同时,测试发现部分国内使用Chromium内核的其他浏览器,如360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等,在默认设置下也会受到该漏洞影响,威胁范围十分广泛。 尤其值得注意的是由于微信Windows PC版也内置了Chrome内核的浏览器,并支持用命令行以非沙箱模式运行,微信用户面临遭到攻击的风险。据我国网络安全企业杭州安恒信息技术股份有限公司报告称,目前已经发现攻击者构造包含该零日漏洞利用代码的恶意钓鱼链接(默认使用微信内置浏览器打开)并发送给目标的实际攻击活动。该漏洞已被腾讯安全应急响应中心确认,并紧急发布了最新版本3.2.1.141及后续版本。