Beispielanalyse von Google Chrome 85 zur Behebung der Schwachstelle bei der Ausführung von WebGL-Code

Google hat eine Use-After-Free-Schwachstelle in der WebGL-Komponente (Web Graphics Library) des Google Chrome-Webbrowsers behoben. Durch die erfolgreiche Ausnutzung dieser Schwachstelle kann ein Angreifer beliebigen Code im Kontext des Browserprozesses ausführen.

WebGL ist eine JavaScript-API, die von Kompatibilitätsbrowsern zum Rendern interaktiver 2D- und 3D-Grafiken ohne Verwendung von Plug-Ins verwendet wird.

Google Chrome 85.0.4149.0 hat diese Sicherheitslücke bei der Codeausführung behoben.

Hochriskante Sicherheitslücke bei der Codeausführung

Die von Marcin Towalski, leitender Forschungsingenieur bei Cisco Talos, entdeckte Sicherheitslücke bei der Codeausführung trägt die Nummer CVE-2020-6492 und hat einen CVSS v3-Score von 8,3.

Diese Sicherheitslücke löst einen Absturz aus, wenn eine WebGL-Komponente Objekte im Speicher nicht ordnungsgemäß verarbeitet.

Laut der Cisco Talos-Sicherheitsempfehlung besteht die Schwachstelle in ANGLE, der Kompatibilitätsschicht zwischen OpenGL und Direct3D, die vom Chrome-Browser und anderen Projekten unter Windows verwendet wird.

Ein Angreifer kann diese Use-after-Free-Schwachstelle ausnutzen, indem er das richtige Speicherlayout manipuliert und letztendlich beliebigen Code in der Browserumgebung ausführt, um die vollständige Kontrolle zu erlangen.

CVE-2020-6492 betrifft Google Chrome 81.0.4044.138 (stabil), 84.0.4136.5 (Dev) und 84.0.4143.7 (Canary).

Google ChromeSicherheitsupdate

Zuvor haben die stabilen Versionen von Google Chrome (Chrome 84 und Chrome 83) jeweils 38 Schwachstellen behoben, darunter Sicherheitslücken, die als äußerst kritisch und risikoreich eingestuft wurden.

Chrome 84 optimiert außerdem den Schutz vor Downloads gemischter Inhalte und Betrug mit Browserbenachrichtigungen und entfernt gleichzeitig unsichere TLS-Protokolle (z. B. TLS 1.0 und 1.1).

Chrome 83 bietet Benutzern zahlreiche Sicherheits- und Datenschutzfunktionen, darunter einen neu gestalteten Bereich mit Datenschutz- und Sicherheitseinstellungen, eine neue Sicherheitsüberprüfungsfunktion, eine neue verbesserte Funktion für sicheres Surfen, eine bessere Kontrolle über Cookies und optimierte DoH-Einstellungen usw.

Aufgrund der Epidemie, die nicht abgeklungen ist, hat Google keine Version von Chrome 82 veröffentlicht, sondern beschlossen, diese Version zu überspringen und alle Änderungen der nächsten Version zu überlassen.

Das obige ist der detaillierte Inhalt vonBeispielanalyse von Google Chrome 85 zur Behebung der Schwachstelle bei der Ausführung von WebGL-Code. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!