風險通告

　　2021年4月14日，奇安信CERT監(jiān)測到互聯(lián)網上公開了一份V8引擎遠程代碼執(zhí)行0day漏洞POC，經測試，該漏洞影響Chrome最新正式版（89.0.4389.128）以及基于Chromium內核的Microsoft Edge正式版（89.0.774.76）。攻擊者可通過構造特制web頁面并誘導受害者訪問來利用此漏洞獲得遠程代碼執(zhí)行。需要注意的是，此枚漏洞與4月13日的0Day漏洞不是同一個漏洞。鑒于該漏洞目前處于0Day漏洞狀態(tài)，強烈建議客戶盡快采取臨時解決方案以避免受此漏洞影響。

　　漏洞描述

　　Google Chrome是由Google開發(fā)的免費網頁瀏覽器。經測試，此漏洞影響 Chrome 最新正式版（89.0.4389.128）以及基于Chromium內核的Microsoft Edge正式版（89.0.774.76）。攻擊者可通過構造特制web頁面并誘導受害者訪問來利用此漏洞獲得遠程代碼執(zhí)行。

　　奇安信CERT第一時間復現(xiàn)此漏洞，以下為Chrome最新正式版以及基于Chromium內核的Microsoft Edge最新正式版下的復現(xiàn)截圖：

　　風險等級

　　奇安信 CERT風險評級為：高危

　　風險等級：藍色（一般事件）

　　影響范圍

　　Google Chrome <= 89.0.4389.128

　　基于Chromium內核的Microsoft Edge <= 89.0.774.76

　　其他基于V8引擎的瀏覽器

　　處置建議

　　鑒于該漏洞目前處于0Day漏洞狀態(tài)，無相應的漏洞補丁，用戶采取如下臨時解決方案以避免受漏洞所導致風險影響：

　　1. 慎重打開來源不明的文件或網頁鏈接。

　　2. 暫時停止使用V8相關引擎的瀏覽器，如Chrome、基于Chromium內核的Microsoft Edge，換Firefox等瀏覽器。