清静通告|Chrome又爆一枚新0Day误差

宣布时间：2021-04-16

2021年4月14日，，，，，，，stake官网网络CERT清静应急响应团队监测到外洋研究员在互联网上果真了一份Chrome远程代码执行0day误差POC，，，，，，，经测试，，，，，，，攻击者可通过结构特定Web页面诱导受害者会见，，，，，，，导致此误差获得远程代码执行。。。。。。。

误差形貌

Google Chrome是由Google开发的免费网页浏览器，，，，，，，许多第三方浏览器使用Chromium内核。。。。。。。该误差已经影响了Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）。。。。。。。需要说明的是，，，，，，，此枚误差与4月13日的Chrome 0Day误差并不是统一个误差。。。。。。。鉴于该误差现在处于0Day误差状态，，，，，，，强烈建议客户尽快接纳暂时解决计划以阻止受此误差影响。。。。。。。

2021年4月14日，，，，，，，Chrome最新正式版（89.0.4389.128）更新包括2个清静修复程序:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220为4月13日爆出的Chrome远程代码执行误差。。。。。。。

而于4月14日黄昏8点左右互联网又爆出了本文提及的Chrome远程代码执行误差。。。。。。。

影响规模

Google:Chrome: <=90.0.4430.72

威胁品级

高危

POC状态

目今误差POC已果真

误差复现

1.在Chrome 89.0.4389.128正式版本中误差复现：

Stake(中国区)官方网站

2.在Chrome 90.0.4430.72正式版本中误差复现：

Stake(中国区)官方网站

处置惩罚建议

鉴于该误差现在处于0Day误差状态，，，，，，，无响应的误差补丁，，，，，，，用户接纳如下暂时解决计划以阻止受误差所导致危害影响：

1. 稳重翻开泉源不明的文件或网页链接。。。。。。。

2. 暂时阻止使用V8相关引擎的浏览器，，，，，，，如Chrome、基于Chromium内核的Microsoft Edge，，，，，，，换Firefox等浏览器。。。。。。。

产品解决计划

RG-IDP系列入侵检测防御系统

RG-IDP系列入侵检测防御系统是stake官网网络推出的将深度内容检测、清静防护、上网行为管理等手艺团结的入侵检测防御系统装备。。。。。。。通过对网络中深层攻击行为举行准确的剖析判断，，，，，，，自动有用的保唬唬�；；；；ね缜寰�。。。。。。。RG—IDP系统入侵检测防御系统已支持对该误差的检测。。。。。。。

RG-Scan系列误差评估系统

stake官网RG-Scan通过对系统误差、服务后门、网页挂马、SQL注入误差以及跨站剧本等攻击手段多年的研究积累，，，，，，，总结出了智能主机服务发明、智能化爬虫和SQL注入状态检测等手艺，，，，，，，可以通过智能遍历规则库和多种扫描选项组合的手段，，，，，，，深入准确的检测出系统和网站中保存的误差和弱点。。。。。。。

RG-WALL 系列全新下一代防火墙

RG-WALL系列全新下一代防火墙在清静能力上，，，，，，，不但支持NAT、ACL、DDoS防御等古板清静功效，，，，，，，同时，，，，，，，也支持富厚的应用级清静功效，，，，，，，包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。。。。。。。提供多维度的应用层监控与剖析，，，，，，，资助用户掌握危害，，，，，，，精准预警。。。。。。。同时支持与云清静中心的联动，，，，，，，提供了立体有用的未知威胁防护计划。。。。。。。

针对chrome浏览器远程代码执行，，，，，，，请实时关注相关产品升级包更新情形。。。。。。。实时升级包检测与防护升级包。。。。。。。