查看原文
其他

谷歌修复已遭利用的 Chrome 0day

综合编译 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

 

谷歌修复了 Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows、Mac 和 Linux 用户的稳定桌面信道。


谷歌在公布 Chrome 88.0.4324.150时指出,“谷歌注意到关于 CVE-2021-21148 在野 exploit 的存在。”

新版本将在接下来几天/周内发布到整个用户数据库。Windows、Mac 和 Linux 桌面用户可通过 Settings→Help→About Google Chrome 升级至Chrome 88。之后,谷歌 Chrome Web 浏览器将自动检查新的更新并在可用时安装。


已遭利用


谷歌为该漏洞分配的编号是 CVE-2021-21148,由 Mattias Buelens 在2021年1月24日报告。

微软在1月28日披露称受国家支持的朝鲜黑客组织 ZINC “可能”使用一个 Chrome 浏览器利用链(通过0day 或补丁间隔exploit)攻击漏洞研究员。

另据0Patch 平台创始人称,黑客还利用了 IE 11中的一个 0day 社工漏洞研究员,目前该平台已证实漏洞存在并表示正在推出补丁。微软表示正在调查此事。


CVE-2021-21148是位于谷歌开源和基于C++高性能 WebAssembly 和 JavaScript 引擎V8中的堆缓冲区溢出漏洞。

一般而言缓冲区溢出漏洞可导致崩溃后果,同时也可被攻击者用于在运行易受攻击软件的系统上执行任意代码。


无详情


即使谷歌表示,“已发现关于 CVE-2020-16009 的在野exploit”,但并未提供关于幕后攻击者的任何详情。谷歌还指出,“在大多数用户更新安装修复方案之前,漏洞详情和链接不会发布。如果漏洞存在于其它类似项目依赖的第三方库中但未修复,我们也会保留该限制。”这样做的目的是为 Chrome 用户提供安装安全更新的更多时间并阻止攻击者针对该 0day 创建其它 exploit。

去年,谷歌在一个月内(2020年10月20日至2020年11月12日)修复已遭在野利用的5个0day。




推荐阅读
老哥,帮我看下这个 0day exploit:安全研究员遭疑似国家黑客社工,有人不幸中招
三番四次,Installer 0day 终于获得微补丁
谷歌再修复已遭利用的两个高危 Chrome 0day



原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-actively-exploited-in-the-wild/



题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存