Chrome 浏览器现 0Day 漏洞影响插件钱包

前言

2021 年 04 月 13 日，知道创宇区块链实验室 监测发现国外安全研究员发布了 Chrome 远程代码执行 0Day 的 POC 详情，漏洞等级：严重，漏洞评分：9.8。

该漏洞已验证，目前 Google 只针对该漏洞发布了 beta 测试版 Chrome （90.0.4430.70）修复，Chrome 正式版（ 89.0.4389.114）仍存在漏洞，知道创宇区块链实验室 建议广大浏览器 Dapp 用户关注官方 Chrome 正式版更新，及时修补漏洞。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞详情

Chrome 浏览器在关闭沙盒（默认开启）的情况下，打开 payload 构造的恶意页面将造成远程代码执行。

知道创宇区块链实验室已对公开 PoC 进行验证

插件钱包影响

浏览器安全将直接影响钱包插件的安全性，可能导致 MetaMask 类插件钱包账户被盗的安全问题。

修复建议

Chrome 浏览器默认开启沙盒，故一般用户不会受到影响，也可暂时将 Chrome 升级至已修复的 beta 版本 90.0.4430.70。

作者：创宇区块链安全实验室；来自链得得内容开放平台“得得号”，本文仅代表作者观点，不代表链得得官方立场凡“得得号”文章，原创性和内容的真实性由投稿人保证，如果稿件因抄袭、作假等行为导致的法律后果，由投稿人本人负责得得号平台发布文章，如有侵权、违规及其他不当言论内容，请广大读者监督，一经证实，平台会立即下线。如遇文章内容问题，请发送至邮箱：linggeqi@chaindd.com