尽快更新!Chrome 修复两个已遭在野利用的 0day
编译:代码卫士
今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day。
这两个漏洞是 CVE-2021-37975和CVE-2021-37976,分别是V8 JavaScript 和 WebAssembly 引擎中的释放后使用缺陷和内核中的信息泄露漏洞。
和往常一样,谷歌并未分享关于漏洞利用的任意相关详情,从而使大多数用户能够打补丁,不过表示已在野出现这两个漏洞的exploit。
CVE-2021-37975 是由匿名研究员发现的,CVE-2021-37976是由谷歌威胁分析组织的研究员Clément Lecigne 发现的;Lecigne 此前不久曾发现另外一枚遭活跃利用的、位于 Chrome Portals API 中的释放后使用漏洞,而这一事实让人猜测这两个0day是否是同一利用链的一部分且可导致任意代码执行后果。
从年初到现在,谷歌已解决了14个0day,如下:
CVE-2021-21148 - V8中的对缓冲区溢出漏洞
CVE-2021-21166 – 音频中的对象回收问题
CVE-2021-21193 – Blink 中的释放后使用漏洞
CVE-2021-21206 - Blink 中的释放后使用漏洞
CVE-2021-21220 - x86_64 位V8中不可信输入的验证不充分漏洞
CVE-2021-21224 - V8中的类型混淆漏洞
CVE-2021-30551 - V8中的类型混淆漏洞
CVE-2021-30554 - WebGL中的释放后使用漏洞
CVE-2021-30563 - V8中的类型混淆漏洞
CVE-2021-30632 - V8中的界外写漏洞
CVE-2021-30633 - Indexed DB API 中的释放后使用漏洞
CVE-2021-37973 - Portals中的释放后使用漏洞
建议 Chrome 用户尽快更新至Chrome 的最新版本94.0.4606.71。
立即更新 Chrome 浏览器!这个 0day 已遭在野利用
详细分析谷歌紧急修复的 Chrome 0day(CVE-2021-21224)
又一枚 Chrome 0day现身
https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。