Google一直在改进Chrome浏览器,并且最近发布了出色的(如果已过期)升级。不幸的是,现在Google已详细介绍了Chrome中一个严重的新问题,该问题无法解决,而这仅适用于Windows 10。
有关此漏洞的更多信息,Firefox用户需要认真对待。Forshaw在扩展他的报告时指出,“由于FF使用Chromium沙箱,所以存在相同的缺陷,”但指出:“如果FF在沙箱中处理的不信任内容比Chrome还要多,那么情况会更糟。”
Forshaw在他的初次报告中解释了他不将重点集中在Firefox上的决定,他解释说:“我并不是想让它们陷入困境,Windows损坏不是他们的错。但是,我不会毫不客气地提及他们,而没有知识来备份它。” 我已将Forshaw的观点转给Firefox进行回应。
谷歌项目零调查研究员詹姆斯·弗肖(James Forshaw)在题为“您不会相信这一行更改对Chrome沙盒所做的事情” 的有趣文章中透露,Chrome完全依靠Windows 10的代码来确保安全。此外,Forshaw解释说,最近的Windows 10新更新仅用了一行错误的代码就突破了Chrome的安全性。鉴于Windows 10 令人震惊的最新更新记录,无论是浏览器还是平台,都无法保证。
“ Windows上的Chromium 沙箱(一种阻止故障扩散到其他软件的安全机制)经受了时间的考验,” Forshaw解释说。“它被认为是大规模部署的更好的沙箱机制之一,不需要更高的特权即可运行。尽管有好处,但确实有其缺点。沙箱的实现主要取决于Windows操作系统的安全性。更改Windows的行为不受Chromium开发团队的控制。如果在Windows的安全实施机制中发现错误,则沙箱可能会损坏。”
而这正是发生的事情。Forshaw指出,Microsoft引入了Windows 10 1903更新,该更新使在Chrome浏览器中进行的在线攻击可以破坏其安全性并传播到Windows本身。随后,他找到了多种方法来逃脱Chrome的安全性。他在概述不同的选项时警告说:“我希望这能洞悉Windows内核中的微小更改如何对沙盒环境的安全性产生不成比例的影响。”
好消息是Forshaw 向Microsoft警告了该问题,该公司发布了补丁(CVE-2020-0981 )来修复它。也就是说,Forshaw发现的基本缺陷仍然存在:Windows 10上的Google Chrome的安全性取决于Microsoft,并且无法更改。
重要的是要指出,其他基于Chromium的浏览器也面临相同的风险(Opera,Brave,Microsoft的新Edge浏览器),这意味着如果您对浏览器的偏爱程度超过了操作系统,则可能会想退出Windows 10。
如果您希望保持现状,那么最近的一则提示是,Microsoft可能会对Windows 10更新进行根本性的更改,但就目前而言,用户可以做出决定。
![Sonos起诉谷歌 声称它窃取了其多房间扬声器技术]("http://www.xinhuatone.com/uploadfile/2020/0110/20200110112419943.png)
