Google今天針對(duì)Windows、Mac以及Linux系統(tǒng)發(fā)布了Chrome 86.0.4240. 183更新。這次的更新可以解決不少的安全性問(wèn)題，包括一個(gè)已經(jīng)被人利用，可以讓攻擊者執(zhí)行任意代碼的零日漏洞。

這個(gè)零日漏洞CVE代碼為CVE-2020-16009，是由Google威脅分析組的Clement Lecigne以及Google project Zero的Samuel Groß在上月29日發(fā)現(xiàn)的。這個(gè)漏洞是由V8的不當(dāng)執(zhí)行而引起的，V8是Google的一款開(kāi)源及基于C++而成的高性能WebAssembly及JavaScript引擎。

盡管Google表示收到了關(guān)于CVE-2020-16009被人利用以及攻擊的報(bào)告，但是他們并沒(méi)有提供關(guān)于這些攻擊的詳細(xì)資料：

“在大多數(shù)用戶都還沒(méi)升級(jí)到最新版本前，對(duì)于漏洞的詳細(xì)信息以及連接的訪問(wèn)會(huì)受到限制。如果這個(gè)漏洞也存在于第三方庫(kù)中，而其他項(xiàng)目需要依靠這個(gè)庫(kù)來(lái)運(yùn)行的話，我們也會(huì)保留上述的限制措施。”

CVE-2020-16009是自上兩周以來(lái)第二個(gè)被修補(bǔ)的Chrome零日漏洞，另一個(gè)是在FreeType文本渲染庫(kù)中的堆緩沖區(qū)溢出零日漏洞。而上個(gè)星期，Google Project Zero團(tuán)隊(duì)也公布了一個(gè)已被利用的Windows內(nèi)核提權(quán)零日漏洞CVE-2020-17087。

除此之外，Chrome 86.0.4240. 183版也修補(bǔ)了幾個(gè)其他的漏洞，包括一個(gè)在安卓版Chrome上已經(jīng)有被利用的沙盒逃逸漏洞CVE-2020-16010、釋放后利用漏洞CVE-2020-16004、ANGLE策略執(zhí)行缺失漏洞CVE-2020-16005、另一個(gè)V8執(zhí)行不當(dāng)漏洞CVE-2020-16007、WebRTC緩沖區(qū)溢出漏洞CVE-2020-16008以及Windows UI內(nèi)堆緩沖區(qū)溢出(Heap buffer overflow)漏洞CVE-2020-16011。