Chrome 多個高危漏洞通告

報告編號：B6-2021-011201

報告來源：360CERT

報告做者：360CERT

更新日期：2021-01-12

0x01事件簡述

2021年01月12日，360CERT監測發現Google發佈了Chrome安全更新的風險通告，事件等級：嚴重，事件評分：9.6。

Goolge針對Chrome發佈了新版本更新，新版中修復了16處安全漏洞，包含12個高危漏洞。

其中CVE-2020-21107/21108/21109/21115四處高危漏洞由 `360Alpha Lab` 第一時間向Google報告並協助修復相關漏洞

對此，360CERT建議廣大用戶及時將Chrome升級到最新版本。與此同時，請作好資產自查以及預防工做，以避免遭受黑客攻擊。

0x02風險等級

360CERT對該事件的評定結果以下

評定方式	等級
威脅等級	嚴重
影響面	通常
360CERT評分	9.6

0x03漏洞詳情

編號	組件	漏洞	等級
CVE-2021-21106	autofill	use after free	高危
CVE-2021-21107	drag and drop	use after free	高危
CVE-2021-21108	media	use after free	高危
CVE-2021-21109	payments	use after free	高危
CVE-2021-21110	safe browsing	use after free	高危
CVE-2021-21111	webui	安全策略執行異常	高危
CVE-2021-21112	blink	use after free	高危
CVE-2021-21113	skia	棧溢出	高危
CVE-2020-16043	networking	數據校驗不足	高危
CVE-2021-21114	audio	use after free	高危
CVE-2020-15995	v8	內存越界寫	高危
CVE-2021-21115	safe browsing	use after free	高危
CVE-2021-21116	audio	棧溢出	中危

0x04影響版本

-google:chrome: <87.0.4280.141

0x05修復建議

通用修補建議

啓用 Chrome 的自動更新或手動下載最新版

Chrome新版下載地址

https://www.google.com/intl/zh-CN/chrome/

0x06產品側解決方案

360企業安全瀏覽器

360企業安全瀏覽器相比傳統瀏覽器，360企業安全瀏覽器兼集中管控、企業數據防禦、安全大腦賦能、跨平臺適配、商用密碼算法支持、應用兼容等六大特色。請用戶前往360企業安全瀏覽器獲取對應產品。

0x07時間線

2021-01-06  Chrome 發佈版本更新

2021-01-12  360CERT發佈通告

0x08參考連接

一、 2020-01 Stable Channel Update for Desktop

https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop.html

0x09特製報告下載連接

一直以來，360CERT對全球重要網絡安全事件進行快速通報、應急響應。爲更好地爲政企用戶提供最新漏洞以及信息安全事件的安全通告服務，現360CERT正式推出安全通告特製版報告，以便用戶作資料留存、傳閱研究與查詢驗證。用戶可直接經過如下連接進行特製報告的下載。

Chrome 多個高危漏洞通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】Chrome_多個高危漏洞通告.pdf

如有訂閱意向與定製需求請掃描下方二維碼進行信息填寫，或發送郵件至g-cert-report#360.cn ，並附上您的 公司名、姓名、手機號、地區、郵箱地址。

推薦閱讀：

一、安全事件週報 (01.04-01.10)

二、安全運營週刊第二十二期

三、致遠OA 文件上傳漏洞

長按下方二維碼關注360CERT！謝謝你的關注！

注：360CERT官方網站提供 《Chrome 多個高危漏洞通告》 完整詳情，點擊閱讀原文

本文分享自微信公衆號 - 三六零CERT（CERT-360）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。