清静通告|Chrome又爆一枚新0Day误差

宣布时间：2021-04-16

2021年4月14日，97国际网络CERT清静应急响应团队监测到外洋研究员在互联网上果真了一份Chrome远程代码执行0day误差POC，经测试，攻击者可通过结构特定Web页面诱导受害者会见，导致此误差获得远程代码执行。

误差形貌

Google Chrome是由Google开发的免费网页浏览器，许多第三方浏览器使用Chromium内核。该误差已经影响了Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）。需要说明的是，此枚误差与4月13日的Chrome 0Day误差并不是统一个误差。鉴于该误差现在处于0Day误差状态，强烈建议客户尽快接纳暂时解决计划以阻止受此误差影响。

2021年4月14日，Chrome最新正式版（89.0.4389.128）更新包括2个清静修复程序:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220为4月13日爆出的Chrome远程代码执行误差。

而于4月14日黄昏8点左右互联网又爆出了本文提及的Chrome远程代码执行误差。

影响规模

Google:Chrome: <=90.0.4430.72

威胁品级

高危

POC状态

目今误差POC已果真

误差复现

1.在Chrome 89.0.4389.128正式版本中误差复现：

97国际·(中国区)集团官方网站

2.在Chrome 90.0.4430.72正式版本中误差复现：

97国际·(中国区)集团官方网站

处置惩罚建议

鉴于该误差现在处于0Day误差状态，无响应的误差补丁，用户接纳如下暂时解决计划以阻止受误差所导致危害影响：

1. 稳重翻开泉源不明的文件或网页链接。

2. 暂时阻止使用V8相关引擎的浏览器，如Chrome、基于Chromium内核的Microsoft Edge，换Firefox等浏览器。

产品解决计划

RG-IDP系列入侵检测防御系统

RG-IDP系列入侵检测防御系统是97国际网络推出的将深度内容检测、清静防护、上网行为管理等手艺团结的入侵检测防御系统装备。通过对网络中深层攻击行为举行准确的剖析判断，自动有用的�；ね缜寰�。RG—IDP系统入侵检测防御系统已支持对该误差的检测。

RG-Scan系列误差评估系统

97国际RG-Scan通过对系统误差、服务后门、网页挂马、SQL注入误差以及跨站剧本等攻击手段多年的研究积累，总结出了智能主机服务发明、智能化爬虫和SQL注入状态检测等手艺，可以通过智能遍历规则库和多种扫描选项组合的手段，深入准确的检测出系统和网站中保存的误差和弱点。

RG-WALL 系列全新下一代防火墙

RG-WALL系列全新下一代防火墙在清静能力上，不但支持NAT、ACL、DDoS防御等古板清静功效，同时，也支持富厚的应用级清静功效，包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。提供多维度的应用层监控与剖析，资助用户掌握危害，精准预警。同时支持与云清静中心的联动，提供了立体有用的未知威胁防护计划。

针对chrome浏览器远程代码执行，请实时关注相关产品升级包更新情形。实时升级包检测与防护升级包。