Chrome / Edge 新鲜的漏洞没人关注?

des 27天前 18

好像是得关闭沙盒,以及在 windows 上才起作用
沙盒还是能保护大家的电脑的啊,平时都没感觉到

代码在这里
https://github.com/r4j0x00/exploits

最新回复 (33)
  • codehz 22天前
    引用 2
    (重点是那些 cef 框架,electron 应用。。。。
  • abersheeran 22天前
    引用 3
    昨天就知道了,一朋友公司还紧急通知卸载 Chrome 哈哈哈。
  • root01 22天前
    引用 4
    什么漏洞,我又不登录账户,浏览器能咋的?
  • shuax 22天前
    引用 5
    错误代码:STATUS_ACCESS_VIOLATION
  • aaa5838769 22天前
    引用 6
    影响范围 Google:Chrome <= 89.0.4389.114
  • VR1334 22天前
    引用 7
    吓得我感觉升级浏览器-。-
  • wbd31 22天前
    引用 8
    --no-sandbox 模式下才有效果,感觉不必大关心
  • jim9606 22天前
    引用 9
    要求关闭沙盒=基本不会碰到
    CEF 一般也不会把沙盒关掉吧?
  • Radiation 22天前
    引用 10
    今天复现了,默认沙盒是打开着的,得手动关闭才行,感觉用处不大,以及 chrome 已经修复了,edge 好像还没
  • kangyan 22天前
    引用 11
    好像是调起 window 的计算器吧。。。为啥这么恐慌
  • kangyan 22天前
    引用 12
    @kangyan 是我傻了。好像是可以调起 window 的系统程序
  • dianso 22天前
    引用 13
    这个漏洞需要黑客催眠管理员,然后关闭沙盒,然后安装木马
  • ysc3839 22天前
    引用 14
    @jim9606 很多用了 CEF 的程序都关沙盒的,因为在 Windows 下开启沙盒后,主进程和子进程必须使用同一个可执行文件。
    https://bitbucket.org/chromiumembedded/cef/wiki/SandboxSetup
    以及自己编译的情况下,开启沙盒要多很多步骤,所以很多软件都不会开启的。
  • maskerTUI 22天前
    引用 15
    过不了 chrome 的沙箱,实际攻击效果没有
  • Greatshu 22天前
    引用 16
    感谢提醒,正在更新
    https://img.maocdn.cn/img/2021/04/14/image.png
  • jhdxr 22天前
    引用 17
    @kangyan 一般 windows 上代码执行的漏洞演示的时候都是唤起一个计算器作为例子
  • codehz 22天前
    引用 18
    @jim9606 微信就是。。。
    不过人家是 32 位的,但是也看到有大手子做了 PoC
  • Stain5 22天前
    引用 19
    @maskerTUI 现在正式的攻击程序是组合多个漏洞一起用的
  • janxin 22天前
    引用 20
    哇,今天一天看到了 n 个 chrome 0day 批量放出来真刺激啊…
  • JerryCha 22天前
    引用 21
    别吓着有关单位连夜设置策略禁止 Chrome/Edge,重新换回 IE
  • no1xsyzy 22天前
    引用 22
    @JerryCha 难道不是 Firefox 大胜利吗?
  • LokiSharp 22天前
    引用 23
    Firefox 用户路过,有漏洞也没几个人会去花时间研究怎么用(滑稽
  • mantianyu 22天前
    引用 24
    你电脑里有什么值得黑的吗
  • ho121 22天前
    引用 25
    钉钉默认没有开启沙箱保护,其它软件应该也有默认不开启的吧
  • missz 22天前
    引用 26
    公司大量机器上跑着 puppeteer 的脚本,全都关了沙盒。。。
  • q197 22天前
    引用 27
    electron 的软件不少,不过一般不能自由访问任意网址。cef 的软件还能访问任意网址的就想到一个 steam,不知道有风险吗
  • sobigfish 22天前
    引用 28
    > “你电脑里有什么值得黑的吗”
    说这话的真的是又*又*
  • aaa5838769 22天前
    引用 29
    @sobigfish 间接或者直接肯定会有一定对自己影响的。
  • Hack3rHan 22天前
    引用 30
    Chrome 默认情况下就是跑在 Sandbox 的,所以该漏洞对个人用户基本没有危害,关沙盒需要加参数启动,个人用户一般不会执行此操作。
    所以也就复现一下,升级一下就完事了,再咋关注呢,我又不利用这玩意。
    真有在 Linux 下拿 Root 启动 Chrome 的需要关注一下,因为这个操作必须--no-sandbox 。对普通用户影响基本没有,无需过度关注。
  • Hack3rHan 22天前
    引用 31
    @Hack3rHan 接上条,基本没有危害单指 Google Chrome 本身,防杠。
  • liuzy1999 22天前
    引用 32
    学习一下
  • realpg 22天前
    引用 33
    这个漏洞影响的不是正常 chrome 浏览器,是一堆 chrome 换壳浏览器,以及集成它核心的本地软件
  • Ljcbaby 22天前
    引用 34
    Chrome 和 Edge 应该不会有事,倒是国内换壳浏览器容易出事
    我记得时间 360 安全浏览器 7 的时候默认参数还是 --no-sandbox 的
    (换掉很久了)
  • 游客
    35
返回