11月2日，谷歌Chrome發(fā)布Windows、Mac和 Linux 86.0.4240.183版本，其中修復(fù)了10個(gè)安全漏洞，其中包含1個(gè)高危的在野利用0 day漏洞——CVE-2020-16009。其中包括：

CVE-2020-16004：用戶接口中的高危UAF 漏洞;

CVE-2020-16005：ANGLE中的策略執(zhí)行不充分;

CVE-2020-16006：V8 中的不當(dāng)實(shí)現(xiàn);

CVE-2020-16007：安裝器中的數(shù)據(jù)有效性驗(yàn)證不足;

CVE-2020-16008：WebRTC 中的棧緩存溢出;

CVE-2020-16009：V8 中的不當(dāng)實(shí)現(xiàn);

CVE-2020-16011：Windows上UI 中的堆緩存溢出漏洞。

CVE-2020-16009

其中CVE-2020-16009 漏洞是在10月29日由谷歌Project Zero研究人員Groß和谷歌TAG 研究人員Clement Lecigne提交的。隨后，研究人員就發(fā)現(xiàn)了該漏洞的在野利用。因此，谷歌緊急發(fā)布了該漏洞的補(bǔ)丁，這是2周谷歌修復(fù)的第二個(gè)0 day在野利用漏洞。

谷歌Project Zero研究人員Ben Hawkes稱CVE-2020-16009漏洞是由于V8 JS渲染引擎不當(dāng)實(shí)現(xiàn)引發(fā)的遠(yuǎn)程代碼執(zhí)行漏洞。

CVE-2020-16010

此外，谷歌還修復(fù)了Chrome安卓客戶端的一個(gè)0 day漏洞利用——CVE-2020-16010。

谷歌暫時(shí)并未就這2個(gè)漏洞的技術(shù)細(xì)節(jié)進(jìn)行說明。

本文翻譯自：https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html如若轉(zhuǎn)載，請注明原文地址。