奇安信代码安全实验室研究员为谷歌Chrome发现一个“高危”级别的沙箱外漏洞 (CVE-2020-21106),第一时间报告并协助其修复漏洞。北京时间2021年1月7日,谷歌发布了补丁更新公告以及致谢公告,公开致谢奇安信代码安全实验室研究人员。
图 谷歌官方致谢
漏洞概述
CVE-2020-21106 –Chrome自动填充组件中的使用后释放漏洞
谷歌 Chrome 的自动填充组件中存在一个释放后使用漏洞,该漏洞位于浏览器沙箱外,易被攻击者利用。未认证的远程攻击者可构造恶意网页,诱骗受害者访问,从而在受害者系统上执行任意代码。如遭成功利用,该漏洞可使易受攻击的系统遭攻陷。
谷歌已发布修复方案,用户应尽快更新至最新版本 87.0.4280.141。
参考链接
https://chromereleases.googleblog.com/
关于奇安信代码卫士
基于奇安信代码安全实验室多年的技术积累,奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测1300多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。
奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统,通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况, 及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别4000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。