309      搜狐

微軟披露穀歌Chrome存在遠程代碼執行漏洞

微軟進攻安全研究（OSR）團隊公布了穀歌的Chrome瀏覽器漏洞CVE-2017-5121，該漏洞最初可導致信息泄露，然後可進一步利用實現遠程代碼執行。

微軟和穀歌的安全團隊一直以“友好競爭”的關係互相曝料對方的產品漏洞，穀歌的秘密安全團隊“Project Zero”陸續發布了微軟的IE、Edge、Windows Defender及操作係統漏洞。

此次，微軟披露其進攻安全研究（OSR）團隊在Chrome瀏覽器中發現的遠程代碼執行漏洞的細節。

微軟OSR研究員Jordan Rabet使用ExprGen工具測試Chrome的V8開源JavaScript引擎，開始他們發現了信息泄露漏洞，之後通過渲染進程繞過單源策略（SOP）便可執行任意代碼。這意味著攻擊者可從任何網站竊取保存的密碼，通過通用跨站點腳本(UXSS)將任意的JavaScript注入到網頁中，然後悄悄地指向任意網站。

該漏洞編號為CVE-2017-5121，微軟的研究人員通過穀歌的漏洞賞金計劃獲得了15837美元的獎金，他們計劃將該獎金捐獻給慈善機構。

穀歌在上個月修補了該漏洞，並發布了Chrome61。但是微軟指出此次發布的補丁是基於開源的瀏覽器項目Chromium，修補的源代碼會在公布給用戶之前發布到GitHub，這可能讓攻擊者有機會利用漏洞來攻擊不受保護的用戶。

我國《網絡安全法》將信息安全正式納入國家安全的範疇，其中對於信息安全基礎建設和數據安全更是高度重視。從如今網絡犯罪不發分子的攻擊手段和目的來說，已經有別於之前外網和應用層攻擊，多數已將觸角深入到內網和操作係統中，打擊的對象直指企業和機構的核心數據。

而且從國內現狀可以看出，有的企業或機構較早建立起安全意識，對數據安全足夠重視；而有的企業和機構缺乏網絡安全意識，缺乏行動力，遂導致不可估量的損失。優炫軟件提醒廣大用戶，麵對現今危機四伏的網絡環境，我們應提前部署信息安全工作，提高信息安全意識，防患於未然。

內容來源：BleepingComputer

freebuf

最後更新：2017-10-25 15:31:52

  上一篇： 長能耐了！微軟小冰要懟人：新增 “伺機報複”技能

  下一篇： 微軟認慫！VS Code舊版Logo回歸