2021年4月14日，銳捷網(wǎng)絡(luò)CERT安全應(yīng)急響應(yīng)團(tuán)隊監(jiān)測到國外研究員在互聯(lián)網(wǎng)上公開了一份Chrome遠(yuǎn)程代碼執(zhí)行0day漏洞POC，經(jīng)測試，攻擊者可通過構(gòu)造特定Web頁面誘導(dǎo)受害者訪問，導(dǎo)致此漏洞獲得遠(yuǎn)程代碼執(zhí)行。

Google Chrome是由Google開發(fā)的免費(fèi)網(wǎng)頁瀏覽器，許多第三方瀏覽器使用Chromium內(nèi)核。該漏洞已經(jīng)影響了Chrome最新正式版（90.0.4430.72）以及基于Chromium內(nèi)核的Microsoft Edge正式版（89.0.774.77）。需要說明的是，此枚漏洞與4月13日的Chrome 0Day漏洞并不是同一個漏洞。鑒于該漏洞目前處于0Day漏洞狀態(tài)，強(qiáng)烈建議客戶盡快采取臨時解決方案以避免受此漏洞影響。

2021年4月14日，Chrome最新正式版（89.0.4389.128）更新包括2個安全修復(fù)程序:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220為4月13日爆出的Chrome遠(yuǎn)程代碼執(zhí)行漏洞。

而于4月14日傍晚8點左右互聯(lián)網(wǎng)又爆出了本文提及的Chrome遠(yuǎn)程代碼執(zhí)行漏洞。

1.在Chrome 89.0.4389.128正式版本中漏洞復(fù)現(xiàn)：

2.在Chrome 90.0.4430.72正式版本中漏洞復(fù)現(xiàn)：

鑒于該漏洞目前處于0Day漏洞狀態(tài)，無相應(yīng)的漏洞補(bǔ)丁，用戶采取如下臨時解決方案以避免受漏洞所導(dǎo)致風(fēng)險影響：

1. 慎重打開來源不明的文件或網(wǎng)頁鏈接。

2. 暫時停止使用V8相關(guān)引擎的瀏覽器，如Chrome、基于Chromium內(nèi)核的Microsoft Edge，換Firefox等瀏覽器。

RG-WALL 系列全新下一代防火墻

針對chrome瀏覽器遠(yuǎn)程代碼執(zhí)行，請及時關(guān)注相關(guān)產(chǎn)品升級包更新情況。及時升級包檢測與防護(hù)升級包。