Google Chrome 中的漏洞可能允许执行本地代码
发布时间: 2012 年 6 月 19 日
版本: 1.0
概述
执行摘要
Microsoft 正在提供有关发现和修正影响 Google Chrome 版本 17.0.963.79 及更低版本的漏洞的通知。 Microsoft 发现并披露了与受影响供应商 Google 协调的漏洞披露下的漏洞。 谷歌已经修正了软件中的漏洞。
由于 Chrome 上 NPAPI 插件加载不安全,Google Chrome 中存在本地代码执行漏洞。 成功利用此漏洞的攻击者可能会获得与当前用户相同的用户权限。 如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
Microsoft 漏洞研究向 Google 报告了此问题并与之协调,以确保修正此问题。 漏洞已分配到常见漏洞和公开列表中的条目 CVE-2011-3098。 有关详细信息,包括有关 Google 更新的信息,请参阅 2012 年 5 月 15 日 Google Chrome 版本。
缓解因素
- 成功利用此漏洞的攻击者可能会获得与当前用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
- 此漏洞要求将特制文件放置在 Google Chrome 使用的搜索插件目录中。 攻击者需要足够的访问权限才能在目标系统上放置专门制作的文件。
咨询详细信息
用途和建议
咨询目的: 通知用户漏洞及其修正。
公告状态: 已发布公告。
建议: 查看 “建议的操作 ”部分,并根据需要进行配置。
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| 常见漏洞和暴露 | CVE-2011-3098 |
受影响的和非受影响的软件
此公告讨论了以下软件:
| 受影响的软件 |
|---|
| Google Chrome 版本 17.0.963.79 及更低版本 |
| 受影响的软件 |
| Google Chrome 版本 19.0.1084.52 |
常见问题
此公告的范围是什么?
此公告是与受影响的供应商协调发布的一部分,告知客户可能影响其系统的安全问题。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 已通过受影响第三方供应商的更新修复了此漏洞。 此更新修正了表 “受影响的软件”中列出的软件。
漏洞的范围是什么?
这是本地代码执行漏洞。
导致漏洞的原因是什么?
此漏洞是由于 Google Chrome 在用户控制的位置内查找 MIME 类型定义的方式造成的。
攻击者可能使用此漏洞执行哪些操作?
攻击者可以利用此问题在当前用户的安全上下文中执行代码。
攻击者如何利用漏洞?
此漏洞要求将特制文件放置在 Google Chrome 使用的搜索插件目录中。
攻击者可以通过将恶意插件文件放置在 Google Chrome 使用的某个搜索插件目录中,然后说服用户访问需要恶意插件文件中指向的 MIME 类型的网页来利用此漏洞。
建议的操作
更新到最新版本的 Google Chrome。
其他信息
致谢
Microsoft 感谢 以下内容:
- Microsoft 和 Google Inc. 的海飞李致力于解决
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2012 年 6 月 19 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00