#原创分享#Chrome 远程代码执行0Day漏洞复现

漏洞简述

2021年04月13日，360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情，漏洞等级：严重，漏洞评分：9.8。

Google Chrome是由Google开发的免费网页浏览器。Chrome是化学元素“铬”的英文名称，过去也用Chrome称呼浏览器的外框。Chrome相应的开放源代码计划名为Chromium，而Google Chrome本身是非自由软件，未开放全部源代码

该漏洞已验证，目前Google只针对该漏洞发布了beta测试版Chrome（90.0.4430.70）修复，Chrome正式版（ 89.0.4389.114）仍存在漏洞，360CERT建议广大用户关注官方Chrome正式版更新，及时修补漏洞。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞详情

Chrome 远程代码执行漏洞

组件: Chrome

漏洞类型: 命令执行

影响: 服务器接管

简述: 攻击者利用此漏洞，可以构造一个恶意的web页面，当用户访问该页面时，会造成远程代码执行。

目前该漏洞已在最新版本Chrome上得到验证

以上信息可参考https://mp.weixin.qq.com/s/dZl_Urk8cOJ1Qbe16HBFGQ

漏洞复现过程

1.影响版本：

        Google:Chrome: <=89.0.4389.114

2.关闭谷歌沙盒

3.浏览器打开html，poc项目地址：https://github.com/r4j0x00/exploits/tree/master/chrome-0day

完成复现

建议：在纯净虚拟环境复现，不要直接本机复现，容易引起谷歌程序崩溃

感谢分享，有助于工作，学习学习

感谢分享，学习一下！！！！！！

这就没了?上线CS不复现?修改chrome快捷方式启动参数钓鱼不演示下?

坚持每天登陆论坛学习