安全公告|Chrome又爆一枚新0Day缝隙

颁布功夫：2021-04-16

2021年4月14日，GA黄金甲网络CERT安全应急响应团队监测到国表钻研员在互联网上公开了一份Chrome远程代码执行0day缝隙POC，经测试，攻击者可通过机关特定Web页面诱导受害者接见，导致此缝隙获得远程代码执行。

缝霞述

Google Chrome是由Google开发的免费网页浏览器，很多第三方浏览器使用Chromium内核。该缝隙已经影响了Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）。必要注明的是，此枚缝隙与4月13日的Chrome 0Day缝隙并不是统一个缝隙。鉴于该缝隙目前处于0Day缝隙状态，强烈建议客户尽快采取一时解决规划以预防受此缝隙影响。

2021年4月14日，Chrome最新正式版（89.0.4389.128）更新蕴含2个安全建复法式:

[1196781] High CVE-2021-21206: Use after free in Blink

[1196683] High CVE-2021-21220: Insufficient validation of untrusted input in V8 for x86_64.

其中CVE-2021-21220为4月13日爆出的Chrome远程代码执行缝隙。

而于4月14日晚上8点左右互联网又爆出了本文提及的Chrome远程代码执行缝隙。

影响领域

Google:Chrome: <=90.0.4430.72

威胁等级

高危

POC状态

当前缝隙POC已公开

缝隙复现

1.在Chrome 89.0.4389.128正式版本中缝隙复现：

GA黄金甲·(中国集团)官方网站

2.在Chrome 90.0.4430.72正式版本中缝隙复现：

GA黄金甲·(中国集团)官方网站

措置建议

鉴于该缝隙目前处于0Day缝隙状态，无相应的缝隙补丁，用户采取如下一时解决规划以预防受缝隙所导致风险影响：

1. 慎沉打开起源不明的文件或网页链接。

2. 临时终场使用V8有关引擎的浏览器，如Chrome、基于Chromium内核的Microsoft Edge，换Firefox等浏览器。

产品解决规划

RG-IDP系列入侵检测防御系统

RG-IDP系列入侵检测防御系统是GA黄金甲网络推出的将深度内容检测、安全防护、上网行为治理等技术结合的入侵检测防御系统设备。通过对网络中深层攻击行为进行正确的分析判断，自动有效的�；ね绨踩�。RG—IDP系统入侵检测防御系统已支持对该缝隙的检测。

RG-Scan系列缝隙评估系统

GA黄金甲RG-Scan通过对系统缝隙、服务后门、网页挂马、SQL注入缝隙以及跨站剧本等攻击伎俩多年的钻研堆集，总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术，能够通过智能遍历规定库和多种扫描选项组合的伎俩，深刻正确的检测出系统和网站中存在的缝隙和弱点。

RG-WALL 系列全新下一代防火墙

RG-WALL系列全新下一代防火墙在安全能力上，不仅支持NAT、ACL、DDoS防御等传统安全职能，同时，也支持丰硕的利用级安全职能，蕴含病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。提供多维度的利用层监控与分析，援手用户把握风险，精准预警。同时支持与云安全中心的联动，提供了立体有效的未知威胁防护规划。

针对chrome浏览器远程代码执行，请实时关注有关产品升级包更新情况。实时升级包检测与防护升级包。