今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day。
这两个漏洞是 CVE-2021-37975和CVE-2021-37976,分别是V8 JavaScript 和 WebAssembly 引擎中的释放后使用缺陷和内核中的信息泄露漏洞。
和往常一样,谷歌并未分享关于漏洞利用的任意相关详情,从而使大多数用户能够打补丁,不过表示已在野出现这两个漏洞的exploit。
CVE-2021-37975 是由匿名研究员发现的,CVE-2021-37976是由谷歌威胁分析组织的研究员Clément Lecigne 发现的;Lecigne 此前不久曾发现另外一枚遭活跃利用的、位于 Chrome Portals API 中的释放后使用漏洞,而这一事实让人猜测这两个0day是否是同一利用链的一部分且可导致任意代码执行后果。
从年初到现在,谷歌已解决了14个0day,如下:
CVE-2021-21148 - V8中的对缓冲区溢出漏洞
CVE-2021-21166 – 音频中的对象回收问题
CVE-2021-21193 – Blink 中的释放后使用漏洞
CVE-2021-21206 - Blink 中的释放后使用漏洞
CVE-2021-21220 - x86_64 位V8中不可信输入的验证不充分漏洞
CVE-2021-21224 - V8中的类型混淆漏洞
CVE-2021-30551 - V8中的类型混淆漏洞
CVE-2021-30554 - WebGL中的释放后使用漏洞
CVE-2021-30563 - V8中的类型混淆漏洞
CVE-2021-30632 - V8中的界外写漏洞
CVE-2021-30633 - Indexed DB API 中的释放后使用漏洞
CVE-2021-37973 - Portals中的释放后使用漏洞
建议 Chrome 用户尽快更新至Chrome 的最新版本94.0.4606.71。
原文链接
https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html=
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
