谷歌发布了一个Chrome更新程序,以解决三个安全漏洞,其中包括一个零日漏洞,该漏洞正在被积极利用。
有关这些攻击的详细信息尚未公开,我们还不知道如何针对Chrome用户使用此错误。
我们所知道的是,这些攻击是2月18日由Google威胁分析小组成员Clement Lecigne发现的,该小组是Google的一个部门,负责调查和追踪威胁行为者团体。
2020年2月25日
Chrome版本80.0.3987.122的一部分已发布了该0day补丁。该更新适用于Windows,Mac和Linux用户,但不适用于Chrome OS,iOS和Android。
在CVE-2020-6418的标识符下跟踪0day,并且仅将其描述为“ V8中的类型混淆”。
V8是Chrome的组件,负责处理JavaScript代码。
甲类型混乱是指编码在此期间,一个应用程序初始化使用特定“的输入数据执行的操作的错误类型 ”,但被欺骗而处理所述输入作为不同的“类型”。
“类型混淆”导致应用程序内存中的逻辑错误,并可能导致攻击者可以在应用程序内运行不受限制的恶意代码的情况。
这是过去一年来第三次被野外使用的Chrome 0day漏洞。
谷歌在去年3月修补了第一个Chrome 0day漏洞(Chrome 72.0.3626.121中的CVE-2019-5786),然后在11月修补了第二个0day漏洞(Chrome 78.0.3904.8 中的 CVE-2019-13720)。
Chrome v80.0.3987.122还附带了两个附加的安全更新;但是,这些尚未在野外被利用。
