聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

今天，谷歌为 Chrome Web 浏览器发布安全更新，修复了10个安全漏洞，其中包括两个目前已遭利用的高危0day：CVE-2020-16009 和 CVE-2020-16010。

CVE-2020-16009

该漏洞是由谷歌负责追踪威胁行动者及其活动的威胁分析团队 (TAG) 发现的，谷歌对其描述为“V8 中的不当实现“。另外，谷歌在安全更新公告中表示，”谷歌已发现该漏洞遭在野利用的报告“。

一般情况下，谷歌不会公开0day及利用0day 组织的详情，以便用户能够安装更新并阻止其它威胁行动者开发出针对0day 的 exploit。不过谷歌在今天发布的变更日志中表示，CVE-2020-16009 存在于负责处理 JavaScript 代码的 Chrome 组件 V8 中。

V8 是一款由 Chromium Project 为 Chrome 和 Chromium Web 浏览器开发的开源 JavaScript 引擎。V8 引擎第一版和 Chrome 第一版均出现在2008年9月2日。同时V8 还应用在服务器段，如 Couchbase、MongoDB 和 Node.js 中。

按照谷歌的规定，所有漏洞的详情将于漏洞修复14天后公开。

建议 Chrome 用户将浏览器更新至版本 86.0.4240.183 或后续版本。

CVE-2020-16010

谷歌 Project Zero 团队的技术主管 Ben Hawkes 刚刚发布消息称，“今天，谷歌又修复了两个已遭在野利用的 0day（由 Project Zero/Google TAG 在上周发现）。CVE-2020-16009 是一个 V8 漏洞，用于远程代码执行；而 CVE-2020-16010 是一个针对安卓版 Chrome 的沙箱逃逸。“

Hawkes 指出，目前 Chrome 尚未发布关于安卓版 Chrome 的安全更新（已发布的是桌面版安全更新）。CVE-2020-16010 仅影响安卓版。

另外，他还指出，CVE-2020-16011 是和 Windows 相关的漏洞，但并未发现它已遭在野利用的证据。

两周内修复三个已遭利用0day

两周内谷歌发现了三个遭利用的 0day。10月20日，谷歌还发布更新，修复了位于 Chrome FreeType 字体渲染库中的一个 0day (CVE-2020-15999)。上周，谷歌表示该 0day 和 Windows 0day (CVE-2020-17087) 均遭利用。CVE-2020-15999 用于在 Chrome 内执行恶意代码，而 Windows 0day 则被用于提升代码权限并攻击底层 Windows OS。预计微软将在本月补丁星期二中修复该 0day。

十个安全更新

谷歌本次共修复10个漏洞，其中7个是外部研究员发现的，如下：

推荐阅读

7天期限已过，谷歌披露已遭利用的 Windows 内核 0day 详情

奇安信代码安全实验室帮助谷歌修复高危漏洞，获官方致谢

谷歌修复已遭利用的 0day

原文链接

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html

https://en.wikipedia.org/wiki/V8_(JavaScript_engine)

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~