Exemple d'analyse de Google Chrome 85 corrigeant la vulnérabilité d'exécution de code WebGL

Google a corrigé une vulnérabilité d'utilisation après libération dans le composant WebGL (Web Graphics Library) du navigateur Web Google Chrome. En exploitant avec succès cette vulnérabilité, un attaquant peut exécuter du code arbitraire dans le contexte du processus du navigateur.

WebGL est une API JavaScript que les navigateurs de compatibilité utilisent pour restituer des graphiques 2D et 3D interactifs sans utiliser de plug-ins.

Google Chrome 85.0.4149.0 a corrigé cette vulnérabilité d'exécution de code.

Vulnérabilité d'exécution de code à haut risque

La vulnérabilité d'exécution de code découverte par Marcin Towalski, ingénieur de recherche principal de Cisco Talos, est numérotée CVE-2020-6492, Le score CVSS v3 est de 8,3.

Cette vulnérabilité déclenche un crash lorsqu'un composant WebGL ne parvient pas à gérer correctement les objets en mémoire.

Selon l'avis de sécurité Cisco Talos, la vulnérabilité existe dans ANGLE, une couche de compatibilité entre OpenGL et Direct3D utilisée par le navigateur Chrome et d'autres projets sous Windows.

Un attaquant peut exploiter cette vulnérabilité d'utilisation après libération en altérant la disposition correcte de la mémoire, et finalement exécuter du code arbitraire dans l'environnement du navigateur pour obtenir un contrôle complet.

CVE-2020-6492 affecte Google Chrome 81.0.4044.138 (Stable), 84.0.4136.5 (Dev) et 84.0.4143.7 (Canary).

Google ChromeMise à jour de sécurité

Auparavant, versions stables de Google Chrome (Chrome 84 et Chrome 83) 38 les vulnérabilités ont été corrigées chacune, y compris les vulnérabilités de sécurité jugées extrêmement critiques et à haut risque.

Chrome 84 optimise également la protection contre les téléchargements de contenus mixtes et les escroqueries liées aux notifications du navigateur, tout en supprimant les protocoles TLS non sécurisés (c'est-à-dire TLS 1.0 et 1.1).

Chrome 83 offre aux utilisateurs une multitude de protections de sécurité et de confidentialité, notamment une zone de paramètres de confidentialité et de sécurité repensée, une nouvelle fonctionnalité de contrôle de sécurité, une nouvelle fonctionnalité de navigation sécurisée améliorée et un meilleur contrôle des cookies et optimisé Paramètres DoH, etc.

En raison de l'épidémie qui ne s'est pas calmée, Google n'a pas publié la version Chrome 82, mais a décidé de sauter cette version et de laisser toutes les modifications à la prochaine version.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!