谷歌更新了它的Chrome網絡瀏覽器，總共修復了8個漏洞，包括4個評級為高危的漏洞。其中3個是瀏覽器使用后的漏洞，漏洞可能會使瀏覽器的內存中產生錯誤，為主機被入侵和瀏覽器被黑客攻擊留下了隱患。

[[356532]]

上周五，網絡安全和基礎設施安全機構(CISA)發布了安全公告，敦促用戶和信息安全管理員盡快更新應用。該機構警告說，這些漏洞可以被攻擊者用來控制受漏洞影響的系統。

根據谷歌12月的安全公告，谷歌寫道：

如果要手動更新Chrome瀏覽器的話，請訪問客戶端右上方的Chrome的下拉菜單。在該菜單中選擇 "幫助"，然后選擇 "關于谷歌瀏覽器"。打開該菜單項會自動啟動Chrome瀏覽器更新功能。

谷歌表示，目前每個漏洞的相關細節暫不透露，要等到大多數用戶更新修復才可以透露。它還指出，如果其他設備或平臺使用的第三方代碼庫中存在漏洞時，漏洞的技術細節的細致程度將會受到限制。

三個高危漏洞分別包括內存的釋放后的再使用漏洞，還涉及Chrome的剪貼板漏洞、媒體和擴展組件的漏洞。這些漏洞被編號為CVE-2020-16037、CVE-2020-16038和CVE-2020-16039。

第四個高危漏洞(CVE-2020-16040)影響了谷歌開源的被稱為V8的高性能的JavaScript和WebAssembly引擎。該漏洞被認為是數據缺少驗證導致的，在某些情況下，它為跨站腳本攻擊提供了可能性。

谷歌的V8 JavaScript引擎本月也收到了第二個漏洞，這是今年12月報告的兩個中危漏洞之一，編號為CVE-2020-16042，該漏洞被認為是利用了V8的 "未初始化使用 "的特性。從谷歌發布的公告中還不清楚該漏洞的具體性質。但網絡安全研究人員認為這類未初始化使用的漏洞是"基本上可以被忽視的"，并且通常 "被認為是微不足道的內存錯誤"。

根據佐治亞理工學院2017年發表的研究報告，這些漏洞實際上是一種可以很好地被黑客利用的很重要的攻擊載體，它可以在Linux內核中進行權限提升攻擊。

第二個中危漏洞(CVE-2020-16041)是一個 "網絡中的越界讀取 "漏洞。這可能會讓黑客不正當地訪問內存中的對象。雖然CVE的技術細節也未被公布，但這種類型的漏洞可能會允許未經身份認證的黑客向受漏洞影響的軟件發送惡意消息。由于缺少消息的驗證，目標程序可能會崩潰。

谷歌感謝了這幾位安全研究人員，他們為本月的漏洞識別做出了貢獻。因Ryoya Tsukasaki發現了Chrome剪貼板中的內存釋放后再使用漏洞(CVE-2020-16037)而受到了谷歌的感謝，該研究人員獲得了5000美元的漏洞賞金。Khalil Zhani、Lucas Pinheiro、Sergei Glazunov、André Bargull和Mark Brand也因為他們為尋找漏洞做出的努力而受到谷歌的表彰感謝。

本文翻譯自：https://threatpost.com/google_chrome_bugs_patched/161907/