谷歌又修复两个已遭利用的Chrome浏览器0day漏洞

今天，谷歌发布 Chrome 版本 86.0.4240.198，修复了两个已遭利用的 0day。不过这次并不像之前那样由谷歌内部团队发现，而是源自匿名人士。

从更新日志来看，这两枚 0day 是 CVE-2020-16013 和 CVE-2020-16017，均被谷歌评级为“高危”漏洞。目前它们的漏洞详情并未公开。谷歌指出，这两个漏洞已遭在野利用。

其中，CVE-2020-16013 是 “V8 中的不当实现”问题。V8 是负责处理 JavaScript 代码的 Chrome 组件。该漏洞可导致远程攻击者创建特殊构造的网页，诱骗受害者访问该网页，进一步攻陷系统。CVE-2020-16017 是位于 Site Isolation 中的“释放后使用”内存损坏漏洞。Site Isolation 是隔离各站点数据的 Chrome 组件。远程攻击者可创建特殊构造的网页并诱骗受害者访问，触发释放后错误并在目标系统上执行任意代码。如遭成功利用，该漏洞可导致攻击者攻陷受影响系统。

目前尚不清楚这两个 0day 是否已被当作利用链组合利用还是分开利用。CVE-202-16013 在本周二报告，CVE-2020-16017 在今天早些时候报告。此前，谷歌修复的其它三个 0day 是 CVE-2020-15999、CVE-2020-16009 和 CVE-2020-16010。

多数 0day 通常被用于攻击少量精选目标，因此多数用户无需恐慌。

虽然目前尚不清楚这两个 0day 对普通用户的危险有多大，但仍然建议 Chrome 用户通过该浏览器的内置更新功能（Chrome 目录 → Help 选项 → 关于 Google Chrome 部分）尽快更新至最新版本 v86.0.4240.198。

原文链接

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/

https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html