309      微软

微软披露谷歌Chrome存在远程代码执行漏洞

微软进攻安全研究（OSR）团队公布了谷歌的Chrome浏览器漏洞CVE-2017-5121，该漏洞最初可导致信息泄露，然后可进一步利用实现远程代码执行。

微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞，谷歌的秘密安全团队“Project Zero”陆续发布了微软的IE、Edge、Windows Defender及操作系统漏洞。

此次，微软披露其进攻安全研究（OSR）团队在Chrome浏览器中发现的远程代码执行漏洞的细节。

微软OSR研究员Jordan Rabet使用ExprGen工具测试Chrome的V8开源JavaScript引擎，开始他们发现了信息泄露漏洞，之后通过渲染进程绕过单源策略（SOP）便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码，通过通用跨站点脚本(UXSS)将任意的JavaScript注入到网页中，然后悄悄地指向任意网站。

该漏洞编号为CVE-2017-5121，微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金，他们计划将该奖金捐献给慈善机构。

谷歌在上个月修补了该漏洞，并发布了Chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目Chromium，修补的源代码会在公布给用户之前发布到GitHub，这可能让攻击者有机会利用漏洞来攻击不受保护的用户。

我国《网络安全法》将信息安全正式纳入国家安全的范畴，其中对于信息安全基础建设和数据安全更是高度重视。从如今网络犯罪不发分子的攻击手段和目的来说，已经有别于之前外网和应用层攻击，多数已将触角深入到内网和操作系统中，打击的对象直指企业和机构的核心数据。

而且从国内现状可以看出，有的企业或机构较早建立起安全意识，对数据安全足够重视；而有的企业和机构缺乏网络安全意识，缺乏行动力，遂导致不可估量的损失。优炫软件提醒广大用户，面对现今危机四伏的网络环境，我们应提前部署信息安全工作，提高信息安全意识，防患于未然。

内容来源：BleepingComputer

freebuf

最后更新：2017-10-25 15:31:52

  上一篇： 长能耐了！微软小冰要怼人：新增 “伺机报复”技能

  下一篇： 微软认怂！VS Code旧版Logo回归