微软披露谷歌Chrome存在远程代码执行漏洞_申博太阳城娱乐_太阳城娱乐网址_太阳城线上官网

> 太阳城娱乐网址 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

微软披露谷歌Chrome存在远程代码执行漏洞

2017-10-25
微软进攻安全研究(OSR)团队公布了谷歌的Chrome浏览器漏洞CVE-2017-5121,该漏洞最初可导致信息泄露,然后可进一步利用实现远程代码执行。

微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞,谷歌的秘密安全团队“Project Zero”陆续发布了微软的IE、Edge、Windows Defender及操作系统漏洞。

此次,微软披露其进攻安全研究(OSR)团队在Chrome浏览器中发现的远程代码执行漏洞的细节。

微软OSR研究员Jordan Rabet使用ExprGen工具测试Chrome的V8开源JavaScript引擎,开始他们发现了信息泄露漏洞,之后通过渲染进程绕过单源策略(SOP)便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码,通过通用跨站点脚本(UXSS)将任意的JavaScript注入到网页中,然后悄悄地指向任意网站。



该漏洞编号为CVE-2017-5121,微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金,他们计划将该奖金捐献给慈善机构。

谷歌在上个月修补了该漏洞,并发布了Chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目Chromium,修补的源代码会在公布给用户之前发布到GitHub,这可能让攻击者有机会利用漏洞来攻击不受保护的用户。



我国《网络安全法》将信息安全正式纳入国家安全的范畴,其中对于信息安全基础建设和数据安全更是高度重视。从如今网络犯罪不发分子的攻击手段和目的来说,已经有别于之前外网和应用层攻击,多数已将触角深入到内网和操作系统中,打击的对象直指企业和机构的核心数据。

而且从国内现状可以看出,有的企业或机构较早建立起安全意识,对数据安全足够重视;而有的企业和机构缺乏网络安全意识,缺乏行动力,遂导致不可估量的损失。申博太阳城娱乐提醒广大用户,面对现今危机四伏的网络环境,我们应提前部署信息安全工作,提高信息安全意识,防患于未然。

内容来源:BleepingComputer
freebuf