Google修补2个已发生攻击的Chrome零时差漏洞

在苹果及微软相继发布安全更新修补旗下软件漏洞的同时,Google也修补了2个已经发生开采活动的Chrome漏洞。

Google是在周一针对Windows、Mac及Linux发布稳定版Chrome 93.0.4577.82,以解决11项漏洞。其中2个漏洞包括CVE-2021-30632和CVE-2021-30633,Google警告已经有攻击程序在网络上流传。

两个零时差漏洞,CVE-2021-30632和CVE-2021-30633通报身份皆被列为“匿名”。其中CVE-2021-30632是位于V8 JavaScript引擎中的越界写入(out of bounds write)漏洞。CVE-2021-30633则位于Indexed DB API的使用已释放内存(use after free)漏洞。

Google并未说明两个漏洞或攻击活动的细节。不过ThreatPost报道,越界写入漏洞可能造成资料毁损、程序宕掉或是程序代码执行。而使用已释放内存漏洞的灾情,可以从资料毁损到任意程序代码执行不等。

此外,V8 JavaScript引擎同时也包含在Chromium-based浏览器,因此这项漏洞也可能影响Edge、Brave、Opera等其他浏览器。

其他漏洞皆属于高风险漏洞,分别影响Chrome中的Blink引擎、ANGLE、Selection API及访问许可Permissions组件。

Google表示,所有PC机平台的新版Chrome,将在未来几天到几周内部署给用户。

安全专家也警告,一旦漏洞披露,攻击活动也会接踵而来,因此用户最好尽快更新到最新版本以免受黑。

发表评论