安全通告|Chrome又爆一枚新0Day漏洞

发布时间：2021-04-16

2021年4月14日，锐捷网络CERT安全应急响应团队监测到国外研究员在互联网上公开了一份Chrome远程代码执行0day漏洞POC，经测试，攻击者可通过构造特定Web页面诱导受害者访问，导致此漏洞获得远程代码执行。

漏洞描述

Google Chrome是由Google开发的免费网页浏览器，许多第三方浏览器使用Chromium内核。该漏洞已经影响了Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）。需要说明的是，此枚漏洞与4月13日的Chrome 0Day漏洞并不是同一个漏洞。鉴于该漏洞目前处于0Day漏洞状态，强烈建议客户尽快采取临时解决方案以避免受此漏洞影响。

2021年4月14日，Chrome最新正式版（89.0.4389.128）更新包括2个安全修复程序:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220为4月13日爆出的Chrome远程代码执行漏洞。

而于4月14日傍晚8点左右互联网又爆出了本文提及的Chrome远程代码执行漏洞。

影响范围

Google:Chrome: <=90.0.4430.72

威胁等级

高危

POC状态

当前漏洞POC已公开

漏洞复现

1.在Chrome 89.0.4389.128正式版本中漏洞复现：

2.在Chrome 90.0.4430.72正式版本中漏洞复现：

处置建议

鉴于该漏洞目前处于0Day漏洞状态，无相应的漏洞补丁，用户采取如下临时解决方案以避免受漏洞所导致风险影响：

1. 慎重打开来源不明的文件或网页链接。

2. 暂时停止使用V8相关引擎的浏览器，如Chrome、基于Chromium内核的Microsoft Edge，换Firefox等浏览器。

产品解决方案

RG-IDP系列入侵检测防御系统

RG-IDP系列入侵检测防御系统是锐捷网络推出的将深度内容检测、安全防护、上网行为管理等技术结合的入侵检测防御系统设备。通过对网络中深层攻击行为进行准确的分析判断，主动有效的保护网络安全。RG—IDP系统入侵检测防御系统已支持对该漏洞的检测。

RG-Scan系列漏洞评估系统

锐捷RG-Scan通过对系统漏洞、服务后门、网页挂马、SQL注入漏洞以及跨站脚本等攻击手段多年的研究积累，总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术，可以通过智能遍历规则库和多种扫描选项组合的手段，深入准确的检测出系统和网站中存在的漏洞和弱点。

RG-WALL 系列全新下一代防火墙

RG-WALL系列全新下一代防火墙在安全能力上，不仅支持NAT、ACL、DDoS防御等传统安全功能，同时，也支持丰富的应用级安全功能，包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。提供多维度的应用层监控与分析，帮助用户掌握风险，精准预警。同时支持与云安全中心的联动，提供了立体有效的未知威胁防护方案。

针对chrome浏览器远程代码执行，请及时关注相关产品升级包更新情况。及时升级包检测与防护升级包。