一、情况分析

近日Google Chrome浏览器连续爆出多个远程代码执行 0Day漏洞，漏洞为“严重”级别。启用浏览器的sandbox功能，可有效防止利用该漏洞的攻击，但如果关闭sandbox功能或sandbox被绕过，则该漏洞很可能被攻击者利用。互联网中已经有PoC发布，攻击者利用此漏洞，构造一个恶意的web页面，用户关闭sandbox后，通过浏览器访问该页面时，就会造成远程代码执行。该漏洞与Google浏览器内核Chromium的V8 JavaScript引擎相关，因此大量采用Chromium内核的浏览器可能都会受此漏洞影响。目前最新版本90.0.4430.72的Chrome浏览器仅修复了部分漏洞，仍存在被攻击的风险，其他浏览器还未发布相关安全更新。

二、影响范围

Chrome90.0.4430.72及以下版本，其他基于Chromium内核的浏览器如Microsoft Edge、Opera等以及国产浏览器360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等都可能受此漏洞影响。

三、处置建议

建议校内Chrome用户及时更新到官方最新版本，密切关注版本升级信息，并且不要随意关闭sandox功能，浏览器默认是打开该功能的。同时，注意不要点击来历不明的URL，避免点击可疑邮件附件，也可以使用Firefox等其他非Chromium内核浏览器临时代替相关受影响的浏览器。

附：参考链接：

https://www.freebuf.com/vuls/269752.html

https://v2.s.tencent.com/research/report/42