最近,在360安全大脑的强大赋能下,360 Alpha Lab连续为谷歌Chrome发现四枚“高危”等级漏洞:分别为Chrome拖动模块UAF(释放后使用)漏洞(CVE-2021-21107)、Chrome媒体组件中的UAF(释放后使用)漏洞(CVE-2021-21108)、Chrome在支付模块中UAF(释放后使用)漏洞(CVE-2021-21109)、Chrome在安全浏览模块中UAF(释放后使用)漏洞(CVE-2021-21115)。
发现上述漏洞后,360 Alpha Lab第一次去谷歌Chrome官方报告并协助其成功修复相关漏洞。谷歌最近发布了补丁更新公告,并公开感谢360政府和企业安全集团360 Alpha Lab实验室研究人员在漏洞报告和修复过程中提供了帮助。
图:谷歌Chrome官方致谢
四大“沙箱外漏洞”,直击Chrome主进程
此次,360 Alpha Lab连续发现4个Chrome漏洞是浏览器主流程代码中的漏洞。由于上述四个漏洞都位于浏览器沙箱外,攻击者可以用来突破浏览器沙箱的限制,然后完全控制用户浏览器,安全威胁极其严重。
最严重的是CVE-2021-21107漏洞。这个漏洞可以在没有额外交互的情况下触发。一旦用户访问攻击者构建的恶意页面,攻击者可以在用户系统中悄悄执行任何代码,获取用户敏感数据,甚至可能接管整个系统。
此外,还需要注意的是,CVE-2021-21108漏洞。这个漏洞出现Chrome在媒体流处理模块中,它是由处理标签页监控功能引起的UAF问题是,该漏洞还可以劫持代码控制流,然后获得浏览器沙箱外的权限,使攻击者能够部署恶意代码,危及用户甚至企业的信息安全。
360安全浏览器:更安全的企业办公体验
数字化办公时代,浏览器已逐渐成为办公场景的主要“入口”,承承载着企业协作办公、工单管理、客户管理等系统的运行。然而,随着近年来浏览器漏洞数量的增加,浏览器漏洞成为企业办公场景,可能随时穿透企业内部网络,威胁到企业数字资产安全的存在。自2007年首次发布以来,经过十多年的技术沉淀,形成了良性闭环漏洞修复系统,保证了产品的稳定性和安全性的平衡。跨平台支持Windows、macOS,龙芯、飞腾、坤鹏、兆芯、海光等国内综合兼容CPU,以及UOS、麒麟、中科方德、红旗、普华等国内操作系统。
与传统浏览器相比,360安全浏览器具有集中控制、企业数据保护、安全大脑授权、跨平台适应、商业密码算法支持、应用兼容等六个优点。特别是注入360安全大脑的核心能力,为终端安全、通信安全、互联网安全、行为安全、数据安全提供保护机制,向管理员开放业务相关安全策略,提高办公场景的整体安全能力。
政企多端用户可以去https://browser.360.cn/se/ver/ent.html?src=b.360.cn或者直接扫描下面的二维码注册预约,详情可以通过400-0309-360咨询了解。
