谷歌今天发布了一个Chrome更新,以解决三个安全漏洞,包括一个在野外被积极利用的零日漏洞。
关于这些攻击的细节还没有公开,我们也不知道这个bug是如何被用来对付Chrome用户的。我们只知道袭击是上周发现的,零日是在CVE-2020-6418的标识符下跟踪的,并且只被描述为“V8中的类型混淆”
V8是Chrome负责处理JavaScript代码的组件。
类型混淆指的是编码错误,在此期间,应用程序使用特定“类型”的输入初始化数据执行操作,但被诱使将输入视为不同的“类型”
“类型混淆”会导致应用程序内存中出现逻辑错误,并可能导致攻击者在应用程序中运行不受限制的恶意代码。
谷歌去年3月修补了第一个Chrome零日(Chrome 72.0.3626.121中的CVE-2019-5786),11月又修补了第二个Chrome零日(Chrome 78.0.3904.8中的CVE-2019-13720)。
Chrome v80.0.3987.122还附带了两个额外的安全更新;但是,这些更新在野外还没有被利用。
(内容来源于zdnet.com)
