谷歌紧急修复已遭在野利用的高危 V8 0day (CVE-2021-4102)
编译:代码卫士
谷歌为 Windows、Mac 和 Linux 系统发布 Chrome 96.0.4664.110 版本,修复一个已遭在野利用的位于V8 JavaScript 引擎中的 0day (CVE-2021-4102)。
谷歌表示,“已注意到在野出现CVE-2021-4102的 exploit 报告。“虽然谷歌表示安全更新到达所有用户手中还需要一段时间,不过已经开始在稳定桌面版频道向全球推出Chrome 96.0.4664.110版本。
用户可通过“Chrome menu > Help > About Google Chrome“路径找到更新。Chrome 浏览器将自动检查最近发布的更新并在下一次启动时自动更新。
010day 利用详情未披露
该漏洞 (CVE-2021-4102) 是由匿名安全研究员发现的,它是位于 Chrome 开源JavaScript 引擎V8中的一个释放后使用弱点。攻击者通常利用释放后使用漏洞在运行未修复Chrome 版本的计算机上执行任意代码或逃逸Chrome 的安全沙箱。
虽然谷歌表示已检测到该0day 的在野利用攻击,但并未分享更多详情,为大多数用户修复漏洞争取时间。
02今年修复的第16个 Chrome 0day
这是谷歌今年以来解决的第16个 Chrome 0day 漏洞。
Chrome 解决的其它15个0day 如下:
CVE-2021-21148 – 2月4日
CVE-2021-21166 – 3月2日
CVE-2021-21193 – 3月12日
CVE-2021-21220 – 4月13日
CVE-2021-21224 – 4月20日
CVE-2021-30551 – 6月9日
CVE-2021-30554 – 6月17日
CVE-2021-30563 – 7月15日
CVE-2021-30632 和 CVE-2021-30633 – 9月13日
CVE-2021-37973 – 9月24日
CVE-2021-37976 和 CVE-2021-37975 – 9月30日
CVE-2021-38000 and CVE-2021-38003 – 10月28日
由于该0day 已遭在野利用,因此强烈建议用户今早安装 Chrome 更新。
尽快更新!Chrome 修复两个已遭在野利用的 0day
谷歌紧急修复已遭在野利用的Chrome 0day
因中间件问题重重,谷歌暂停Chrome的量子安全功能
https://www.bleepingcomputer.com/news/security/google-pushes-emergency-chrome-update-to-fix-zero-day-used-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。