本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,Pwn2Own 2021黑客大赛落下帷幕;谷歌Chrome接连曝出0day PoC;微软发布4月补丁更新,修复了108个漏洞和5个零日漏洞。想要了解详情,来看本周的BUF大事件吧!
观看视频
内容梗概
谷歌Chrome 0Day漏洞通报
4月13日,国外安全研究员发布了一个基于Chromium内核的远程代码执行0Day漏洞。漏洞影响Chrome最新正式版(89.0.4389.114)以及所有低版本,攻击者可以通过构造特殊的Web页面,诱导受害者访问,达到远程代码执行的目的。另外,使用谷歌Chrome内核的其他浏览器也受其影响。据悉,这是一个已经公开披露的安全漏洞,但在当前的浏览器版本中还没有修补,谷歌本打算在近期发布的Chrome 90版本中修复这个漏洞。但一天之后,Chrome又被曝了第二个0day漏洞,并且PoC同样也被安全人员公开。新漏洞与之前发布的0day一样,都是远程代码执行漏洞且无法躲过Chromium的沙箱功能。PoC显示该漏洞会导致Windows记事本应用程序被打开。目前尚不知道新的漏洞会不会影响谷歌的漏洞修复进度和Chrome 90发布。
Pwn2Own 2021黑客大赛落下帷幕
每年的Pwn2Own黑客大赛都会吸引全球无数安全研究人员同场竞技、交流心得。近期,Pwn2Own 2021黑客大赛落下帷幕,今年的Pwn2Own活动为期三天,采用线上直播的方式进行,提供了涉及10个不同产品类别的23场独立黑客破解活动。白帽黑客参与者在第一天就获得了超过50万美元的收入:Devcore团队通过Microsoft Exchange服务器漏洞获得了20万美元的收入。RET2安全研究员执行了一个Safari到内核的零日漏洞,为自己赢得了10万美元。
一名印度安全研究人员公布了一个影响谷歌Chrome和其他基于Chromium浏览器的漏洞概念验证(PoC)利用代码。该漏洞被认为和最近被爆出的Chrome 0Day相同。
微软发布4月补丁更新,修复了108个漏洞和5个零日漏洞
近期,微软发布4月补丁更新,修复了108个漏洞,包括19个严重漏洞和89个重要漏洞,还修复了5个零日漏洞。另外,在本次更新中,微软正式放弃了对经典版Edge浏览器的支持。更新将自动卸载旧版本同时下载并安装采用Chromium内核的新版Microsoft Edge浏览器。
CSGO漏洞允许黑客通过Steam邀请控制电脑
起源引擎是由Valve为第一人称射击游戏《半条命2》开发的游戏引擎。近期,有安全研究组织透露,采用起源引擎的多个游戏存在漏洞,黑客通过诱骗受害者点击Steam邀请玩CS:GO游戏,就可以控制对方电脑。安全研究员称,这个漏洞早在2019年6月就报告给了Valve,漏洞存在于Source引擎中,部分使用 Source 引擎的游戏已经修复了漏洞,但在 CS:GO 中该漏洞仍然存在。