谷歌公司并不打算修复Chrome中的RCE安全漏洞 - 栋科技

近日，一个匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向谷歌公司告知了一个安全漏洞，Chrome 60之前的所有老版本都会受到一个远程代码执行漏洞的影响！

不过，面对安全研究人员的热心披露，谷歌方面则回应称并不计划解决该RCE漏洞问题，因为它并不会影响到现行版本的Chrome 60，毕竟当然这一版本是谷歌安全团队唯一愿意投入精力的一个版本。

一、RCE漏洞PoC代码已公布

鉴于谷歌官方并没有修复该RCE漏洞的打算，该匿名的安全研究人员此前已经在Beyongd Security上公布了可以复现该漏洞的PoC代码。

据了解，该漏洞出现在Chrome浏览器中用于优化JavaScript代码的Turbofan组件中，只不过攻击者要利用该漏洞实现攻击的话，必须先引导用户访问攻击者控制的网站，然后在用户浏览器中执行恶意的JavaScript代码。

尽管安全研究人员并未提及其所披露的RCE漏洞是否能够实现沙箱逃逸，使得攻击者可以在PC级别实现恶意代码的执行操作，但可以明确的是，攻击者可以实现通过此漏洞利用浏览器成功窃取用户你可访问数据，比如说浏览器的cookies甚至是密码等重要信息！

二、受影响互联网用户约占10%

根据公开数据目前谷歌的Chrome浏览器的总体市场份额约为59%，其中Chrome 60版本的市场份额也占据了50%，这就意味着，目前互联网用户中会有10%的用户更容易遭遇该RCE漏洞的影响。

当然，这还属于一个乐观的数据，因为我们暂时无法知晓其中是否会影响到Chromium项目以及包括V8 Turbofan优化器的其它浏览器，也就是说，我们并不清楚基于谷歌浏览器内核的其他浏览器会有多少，毕竟基于谷歌浏览器内核开发的浏览器不在少数。

因此，如果要精确的进行统计的话，恐怕受影响用户数量会翻倍增长，同时，RCE漏洞PoC代码的公开可能会引发诸多问题，必定有不法分子会利用该代码针对性的开发出各种恶意程序，成为广告软件、恶意Chrome扩展、技术欺诈等开发人员犯罪的温床！

三、对RCE漏洞的解决方案

上文已经提到了，鉴于该RCE漏洞并不会影响到现行版本的Chrome 60，因此谷歌方面回应并不解决这一漏洞，这就意味着谷歌方面已经给出了解决方案：那就是将设备中的Chrome浏览器更新到最新Chrome 60版本上去！

另外，笔者并不认为是谷歌此次不打算修复漏洞是一种消极对待产品漏洞的问题，而是和微软宣布不再为部分凌动处理器的设备提供支持的做法一样。

谷歌只是希望以此引导用户树立一个及时更新产品的价值观、也是为了能够正确引导用户升级到产品新版本上，毕竟谷歌不是还有个因为某高中生发现后端服务漏洞而获得1万美元奖励的案例摆在之前的么！