Cloud Security Daily 200825：Google Chrome浏览器在任意代码执行中发现了一个高风险漏洞，需要尽快进行升级

8月24日，Google Chrome浏览器打破了一个高风险漏洞，该漏洞可用于执行任意代码。 Google将在本周内发布Chrome 85更新的官方稳定版，以修复此漏洞。
以下是漏洞的详细信息：漏洞详细信息代码执行漏洞（CVE-2020-6492）CSS得分：8.3高风险此漏洞是Chrome浏览器的WebGL（Web图形库）组件中的“无用后使用”漏洞。 WebGL是Java脚本API，允许用户在浏览器中渲染2D和3D图像。
此漏洞是由WebGL无法正确处理内存对象引起的。该漏洞存在于名为“ State :: syncTextures”的ANGLE函数中。
该功能负责检查纹理是否具有“ DirtyBits”。这些是“比特集”。
指示与计算机的内存块关联的特定状态值是否已更改。攻击者可以通过称为drawArraysInstanced的函数执行易受攻击的代码。
当纹理对象试图同步状态时（通过“ Texture ：： syncState函数”），它将在释放条件之后创建用法。释放后使用是由于释放内存后尝试访问内存，这可能导致程序崩溃或潜在地导致执行任意代码。
通过适当的内存布局操作，攻击者可以完全控制此发布后的漏洞，最终可能导致在浏览器上下文中执行任意代码。此漏洞的CVSS等级为8.3（满分10），这意味着它是高风险漏洞。
研究人员表示，Chrome浏览器和其他项目中的OpenGl和Direct3D兼容层ANGLE最容易受到攻击。受影响的产品和版本此漏洞影响Google Chrome 81.0.4044.138（稳定），84.0.4136.5（Dev）和84.0.4143.7（Canary）。
解决方案该漏洞已在Chrome 85稳定版渠道中修复，该渠道将于本周发布给用户使用。在正式版发布之前，该修补程序还可以通过Google Chrome浏览器的Beta通道版本获得。
来源：https：//threatpost.com/google-fixes-high-severity-chrome-browser-code-execution-bug/158600/。