概述
国家信息安全漏洞共享平台(CNVD)收录了GoogleChrome远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击,但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是GoogleChrome浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。GoogleChrome浏览器默认开启沙盒保护模式。CNVD对该漏洞的综合评级为“高危”。
详情
年4月13日,国外安全研究员发布了关于GoogleChrome远程代码执行0Day漏洞的PoC详情。GoogleChrome是由Google开发的免费网页浏览器。此漏洞影响Chrome最新正式版(89.0..)以及所有低版本,攻击者可通过构造特殊的Web页面,诱导受害者访问,从而达到远程代码执行的目的。
根据作者所述,还有一个过沙盒的版本。
GoogleChrome0day远程代码执行漏洞复现
根据给出的poc复现此漏洞。
条件
1.环境win10、win7均可,sever不行
2.关闭沙箱模式--no-sandbox
3.chrome客户端需64位(GoogleChrome=89.0..)
复现
Poc:
联系电话: