Google Chrome 85修复了WebGL代码执行漏洞

8月25日消息：Google解决了谷歌浏览器WebGL的WebGL(Web图形库)组件中的“无用后使用”错误，该漏洞在 成功利用后可能导致浏览器进程上下文中的任意代码执行。

WebGL是兼容浏览器使用的 JavaScript API，无需使用插件即可呈现交互式2D和3D图形。 

Google Chrome的Beta版发布渠道中已包含此代码执行漏洞的修复程序，随着Chrome浏览器85.0.4149.0版的发布，它将在稳定版中发布，根据Chrome的发布时间表，该版本将于明天推出。

高严重性代码执行漏洞

思科Talos的高级研究工程师Marcin Towalski发现的代码执行安全性问题被跟踪为CVE-2020-6492，并获得了8.3 CVSSv3很高的严重等级。

当WebGL组件无法正确处理内存中的对象时，此漏洞将引发崩溃。

Cisco Talos的安全公告解释说：“此漏洞位于ANGLE中，这是OpenGL和Chrome浏览器及其他项目在Windows上使用的Direct3D之间的兼容层。”

“通过适当的内存布局操纵，攻击者可以完全控制此释放后使用漏洞，最终可能导致在浏览器上下文中任意执行代码。”

CVE-2020-6492影响Google Chrome 81.0.4044.138(Stable)，84.0.4136.5(Dev)和84.0.4143.7(Canary)，并于5月19日报告给Google。

Google Chrome安全更新

较早的Google Chrome稳定版本(Chrome 84和Chrome 83)分别解决了38个漏洞，其中包括被评为严重和严重的安全问题。

Chrome 84还增强了针对混合内容下载，浏览器通知诈骗以及删除不安全的TLS协议(即TLS 1.0和1.1)的保护。

以前的版本Chrome 83为用户提供了巨大的安全性和隐私增强功能，包括重新设计的“隐私和安全性”设置部分，新的安全检查功能，新的增强型安全浏览功能，对Cookie的更好控制，改进的DoH设置以及更多。

Google并未发布Chrome 82版本，而是决定由于当前的大流行而跳过该版本，并将其所有更改都发布到下一个版本中。