时间:2020-08-25 08:33:39来源:Win10专业版官网点击量:N次
8月25日消息:Google解决了谷歌浏览器WebGL的WebGL(Web图形库)组件中的“无用后使用”错误,该漏洞在 成功利用后可能导致浏览器进程上下文中的任意代码执行。
WebGL是兼容浏览器使用的 JavaScript API,无需使用插件即可呈现交互式2D和3D图形。
Google Chrome的Beta版发布渠道中已包含此代码执行漏洞的修复程序,随着Chrome浏览器85.0.4149.0版的发布,它将在稳定版中发布,根据Chrome的发布时间表,该版本将于明天推出。
高严重性代码执行漏洞
思科Talos的高级研究工程师Marcin Towalski发现的代码执行安全性问题被跟踪为CVE-2020-6492,并获得了8.3 CVSSv3很高的严重等级。
当WebGL组件无法正确处理内存中的对象时,此漏洞将引发崩溃。
Cisco Talos的安全公告解释说:“此漏洞位于ANGLE中,这是OpenGL和Chrome浏览器及其他项目在Windows上使用的Direct3D之间的兼容层。”
“通过适当的内存布局操纵,攻击者可以完全控制此释放后使用漏洞,最终可能导致在浏览器上下文中任意执行代码。”
CVE-2020-6492影响Google Chrome 81.0.4044.138(Stable),84.0.4136.5(Dev)和84.0.4143.7(Canary),并于5月19日报告给Google。
Google Chrome安全更新
较早的Google Chrome稳定版本(Chrome 84和Chrome 83)分别解决了38个漏洞,其中包括被评为严重和严重的安全问题。
Chrome 84还增强了针对混合内容下载,浏览器通知诈骗以及删除不安全的TLS协议(即TLS 1.0和1.1)的保护。
以前的版本Chrome 83为用户提供了巨大的安全性和隐私增强功能,包括重新设计的“隐私和安全性”设置部分,新的安全检查功能,新的增强型安全浏览功能,对Cookie的更好控制,改进的DoH设置以及更多。
Google并未发布Chrome 82版本,而是决定由于当前的大流行而跳过该版本,并将其所有更改都发布到下一个版本中。