导语:Chrome旧版本WebRTC组件存在释放后使用(Use After Free)漏洞,攻击者可通过恶意网页触发堆内存损坏,谷歌呼吁用户尽快升级。
正文
谷歌Chrome安全团队披露了一个影响WebRTC组件的use-after-free漏洞。该漏洞存在于92.0.4515.159之前的版本中,攻击者只需诱导用户访问一个专门设计的恶意HTML页面,即可触发堆内存破坏。
WebRTC(Web Real-Time Communication)是Chrome内置的实时通信技术,支持浏览器之间的音视频通话和数据传输。漏洞源于WebRTC组件在处理会话描述协议(SDP)时,对内存对象的引用管理存在缺陷,导致已释放的内存区域仍被访问。
安全专家指出,尽管该漏洞影响的是较旧版本,但企业环境和保守用户中仍有大量旧版Chrome在使用。成功利用此漏洞可能导致远程代码执行,完全控制用户浏览器进程。
谷歌已在92.0.4515.159及后续版本中修复此漏洞,同时修复了多个WebRTC相关的内存安全问题。
影响分析
该漏洞主要影响未及时更新的Chrome用户,尤其是企业环境中因兼容性原因保留旧版本的用户。WebRTC广泛应用于视频会议、在线教育等场景,使得该漏洞具有较高的实际威胁价值。
防护建议
- 升级浏览器:确保Chrome版本不低于92.0.4515.159
- 限制站点权限:对不信任网站禁用摄像头和麦克风访问
- 监控WebRTC流量:企业网络应监控异常WebRTC连接
- 使用安全DNS:配置DNS over HTTPS防止恶意域名解析
- 定期清理浏览器缓存:减少潜在的攻击面
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容