最近,在360安全大腦的強勢賦能下,360 Alpha Lab連續為谷歌Chrome發現四枚「高危」級別漏洞:分別為Chrome拖拽模塊中的UAF(釋放後使用)漏洞(CVE-2021-21107)、Chrome媒體組件中的UAF(釋放後使用)漏洞(CVE-2021-21108)、Chrome支付模塊中的UAF(釋放後使用)漏洞(CVE-2021-21109)、Chrome安全瀏覽模塊中的UAF(釋放後使用)漏洞(CVE-2021-21115)。
發現上述漏洞後,360 Alpha Lab第一時間向谷歌Chrome官方報告,並協助其順利修復相關漏洞。日前,谷歌發布補丁更新公告,並公開致謝360政企安全集團360 Alpha Lab實驗室研究人員,對此次漏洞提報及修復過程中給予的幫助。
四大「沙箱外漏洞」,直擊Chrome主進程
此次,360 Alpha Lab連續發現4個Chrome漏洞,均為瀏覽器主進程代碼中的漏洞。由於上述4個漏洞均位於瀏覽器沙箱外,因而可被攻擊者用於突破瀏覽器沙箱限制,進而完全控制用戶瀏覽器,安全威脅異常嚴峻。
最為嚴重的是CVE-2021-21107漏洞。該漏洞可在無額外交互下觸發,用戶一旦訪問了攻擊者構造的惡意頁面,攻擊者便可能悄無聲息地在用戶系統中執行任意代碼,獲取用戶敏感數據,最嚴重甚至可能接管整個系統。
另外,還需要注意的是CVE-2021-21108漏洞。該漏洞出現在Chrome媒體流處理模塊中,是一處處理標籤頁監聽功能時造成的UAF問題,利用該漏洞同樣可劫持代碼控制流,進而獲取瀏覽器沙箱外權限,使攻擊者執行部署惡意代碼,危及用戶個人乃至企業信息安全。
360安全瀏覽器:更安全的企業辦公體驗
數位化辦公時代,瀏覽器已逐漸成為辦公場景的主要「入口」,承載著企業協同辦公、工單管理、客戶管理等系統的運行。但隨著近幾年瀏覽器漏洞數量的攀升,讓瀏覽器漏洞成為了企業辦公場景下,隨時可能洞穿企業內網,威脅企業數字資產安全的存在。360安全瀏覽器從2007年發布第一款至今,經過十多年技術沉澱,已經形成良性閉環的漏洞修復體系,很好的保障了產品的穩定性、安全性的平衡。跨平臺支持Windows、macOS,全面兼容包括龍芯、飛騰、鯤鵬、兆芯、海光等國產CPU,以及UOS、麒麟、中科方德、紅旗、普華等的國產作業系統。
相比於傳統瀏覽器,360安全瀏覽器兼集中管控、企業數據防護、安全大腦賦能、跨平臺適配、商用密碼算法支持、應用兼容等六大優勢於一身。尤其是針對企業場景注入360安全大腦的核心能力,為終端安全、通訊安全、上網安全、行為安全、數據安全等多個維度提供防護機制,並將業務相關的安全策略開放給管理員統一管理,提升辦公場景中的整體安保能力。