Google与微软周末紧急发布更新版Chrome及Chrome-based Edge浏览器,以修补6个高风险漏洞。
德国网络安全应变中心于周末发布安全公告,显示Google Chrome及微软Edge浏览器的6个漏洞,可让远程攻击者开采以发动未指明对象的攻击。这批漏洞被评估为高度风险。
受影响的版本包括Google Chrome 92.0.4515.159以前版本,及Edge 92.0.902.78以前的版本,且同时涵盖Linux、MacOS X、UNIX和Windows平台。
6个漏洞包括CVE-2021-30598到CVE-2021-30604。其中CVE-2021-30598和CVE-2021-30599为JavaScript v8引擎的类型混淆漏洞。CVE-2021-30603为WebStudio组件的竞争条件漏洞。CVE-2021-30600、CVE-2021-30601、CVE-2021-30602及CVE-2021-30604,则是分别位于Printing、Extensions API、WebRTC及ANGLE项目中的使用已释放(Use after free)漏洞。除了WebRTC的漏洞是Google Project Zero找到,其余都是来自外部研究人员的通报。
这是今年V8引擎至少第三度传出同一类型的漏洞,前两次分别发生于4月及6月。
Google为了等大部分用户都更新,而暂时隐藏了这些漏洞的技术细节。Google未说明这批漏洞是否已发生开采活动。
Google周末发布稳定版的Chrome 92.0.4515.159版本,先修补Windows版,Mac和Linux平台版本则会在未来几天到几周陆续部署。微软则是发布稳定版Edge 92.0.902.78版。