検索
ホームページ運用・保守安全性WebGLコード実行の脆弱性を修正したGoogle Chrome 85の分析例

Google は、Google Chrome Web ブラウザの WebGL (Web Graphics Library) コンポーネントにある use-after-free の脆弱性を修正しました。攻撃者がこの脆弱性を悪用することに成功すると、ブラウザのプロセスのコンテキストで任意のコードを実行する可能性があります。

WebGL は、プラグインを使用せずに、準拠ブラウザがインタラクティブな 2D および 3D グラフィックをレンダリングするために使用する JavaScript API です。

このコード実行の脆弱性は、Google Chrome 85.0.4149.0 で修正されました。

高リスクのコード実行の脆弱性

Cisco Talos のシニア リサーチ エンジニアである Marcin Towalski によって発見されたコード実行の脆弱性には、CVE-2020-6492 という番号が付けられています。 CVSS v3 スコアは 8.3。

WebGL コンポーネントがメモリ内のオブジェクトを適切に処理できない場合、この脆弱性によりクラッシュが引き起こされます。

Cisco Talos セキュリティ アドバイザリによると、この脆弱性は、Windows 上の Chrome ブラウザおよびその他のプロジェクトで使用される OpenGL と Direct3D 間の互換性レイヤーである ANGLE に存在します。

攻撃者は正しいメモリ レイアウトを改ざんすることで use-after-free の脆弱性を悪用し、最終的にブラウザ環境で任意のコードを実行して完全な制御を達成する可能性があります。

CVE-2020-6492 は、Google Chrome 81.0.4044.138 (安定版)、84.0.4136.5 (開発版)、および 84.0.4143.7 (Canary) に影響します。

Google Chromeセキュリティ アップデート

以前の Google Chrome の安定版 (Chrome 84 および Chrome 83) では、セキュリティを含む 38 件の脆弱性がそれぞれ修正されていました。重大かつ高リスクと評価された脆弱性。

Chrome 84 は、混合コンテンツのダウンロードやブラウザ通知詐欺に対する保護を最適化すると同時に、安全でない TLS プロトコル (つまり、TLS1.0 および 1.1) を削除します。

Chrome 83 は、再設計された「プライバシーとセキュリティ」設定領域、新しいセキュリティ チェックアップ機能、新しく強化されたセーフ ブラウジング機能、Cookie の保護の強化など、セキュリティとプライバシーのホストをユーザーに提供します。制御、DoH設定の最適化など。

流行が収まらないため、Google は Chrome 82 バージョンをリリースしませんでしたが、このバージョンをスキップし、すべての変更を次のリリースに残すことを決定しました。

以上がWebGLコード実行の脆弱性を修正したGoogle Chrome 85の分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事は亿速云で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

EditPlus 中国語クラック版

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません

SublimeText3 英語版

SublimeText3 英語版

推奨: Win バージョン、コードプロンプトをサポート!

Dreamweaver Mac版

Dreamweaver Mac版

ビジュアル Web 開発ツール

WebStorm Mac版

WebStorm Mac版

便利なJavaScript開発ツール

SecLists

SecLists

SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。