Google在主動攻擊下修復Chrome 0-day漏洞的範例分析

在25日的Chrome更新中，Google修復了三個安全漏洞，其中包括一個正在遭受主動利用的0-day漏洞。

關於這些攻擊的詳情以及該漏洞是如何被用於攻擊Chrome用戶的，尚未公開。

發現這些攻擊的是Google的威脅分析小組成員Clement Lecigne，時間是在2月18日。 Google的威脅分析小組負責調查和追蹤惡意活動的團隊。

該0-day漏洞已在Chrome 80.0.3987.122版本中修復。 Windows，Mac和Linux用戶都有可用的更新，但是ChromeOS，iOS和Android用戶暫無可用的修補程式。

此0-day漏洞編號為CVE-2020-6418，漏洞描述只有 「V8中的類型混淆」 寥寥一句。

V8是Chrome的元件，負責處理JavaScript程式碼。

類型混淆，指在應用程式採用某個特定「類型」的輸入初始化資料執行操作，但卻被欺騙將該輸入當作不同的「類型」處理的過程中產生的編碼漏洞。

應用程式記憶體中的邏輯錯誤由於「類型混淆」而導致，攻擊者可以利用該漏洞在應用程式中運行不受限制的惡意程式碼。

這是過去一年中第三個遭到主動利用的Chrome 0-day漏洞。

Google去年3月修復了第一個Chrome 0-day漏洞（Chrome 72.0.3626.121中的CVE-2019-5786），接著在11月修復了第二個Chrome 0-day漏洞（Chrome 78.0.3904.8中的CVE-2019-13720）。

儘管Chrome 80.0.3987.122版本提供了另外兩個安全更新，但這兩個漏洞尚未被利用。建議用戶盡快更新Chrome。

以上是Google在主動攻擊下修復Chrome 0-day漏洞的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！