Google Chrome 和 Microsoft Edge 存在远程代码执行零日漏洞

13日,一位安全研究人员在 Twitter 上发布了一个远程代码执行的零日漏洞,该漏洞可在当前版本的 Google Chrome 和 Microsoft Edge 上运行。安全研究人员已公开详细漏洞利用代码,漏洞危害极大。

攻击者利用此漏洞,可以构造一个恶意的web页面,当用户访问该页面时,会造成远程代码执行。

目前该漏洞已在最新版本Chrome上得到验证。上述浏览器还没有针对这个漏洞的修复发布。

可以暂时升级到 chrome 测试版( 90.0.4430.70 ),或者在沙箱中使用 chrome 。

腾讯QQ被曝窥探用户网页浏览记录

15日,一位用户在V2EX发帖说自己通过火绒的自定义拦截功能捕捉到QQ读取用户浏览器访问记录的行为。

此后不断有人反映根据发帖者反馈信息确认QQ的确在读取敏感目录。

16天,通过反编译。一名来自看雪论坛的用户在QQ客户端的源程序中发现了遍历扫描Appdata\Local\下用户文件夹User Data\Default\History的代码片段,该文件夹一般用来存放Chrome内核浏览器的用户信息。

这有力地证明了QQ具有扫描用户浏览记录的行为。与此同时,该网友发现腾讯旗下另一款软件TIM同样会窥探用户浏览记录并且更为大胆。

据V2EX发帖者反应,这种肆意妄为的偷窃最早可以追溯到QQ的9.1.5版本,该版本于2019年6月发布。也就是所有QQ用户的浏览隐私至少已经暴露一年半之久了!

Chrome内核的浏览器市场份额占有率很高,360、猎豹等中国内地常用的浏览器均采用Chrome内核。