Google在9月30日发布了Chrome 94.0.4606.71,以修补3个安全漏洞,其中并有两个已遭黑客开采。
该紧急发布的新版Chrome修补了CVE-2021-37974、CVE-2021-37975与CVE-2021-37976。其中的CVE-2021-37974为安全浏览的释放后使用漏洞,CVE-2021-37975为V8的释放后用户漏洞,CVE-2021-37976则是核心的信息外泄露洞。
Google也透露,坊间已出现了针对CVE-2021-37975及CVE-2021-37976漏洞的攻击程序,但只把细节提供给特定的安全社群。
这次Google修补的3个安全漏洞中,就有两个与释放后使用(Use After Free)有关,根据非营利组织Mitre所公布的2021年常见漏洞排行榜,释放后使用名列25个常见漏洞的第七名,当黑客在内存发布后引用它,可能造成程序宕掉,也可用来执行任意程序。
Google将在未来几天或几周内陆续部署Chrome 94.0.4606.71至Windows、macOS与Linux等平台上,Chrome的默认值为自动更新,用户也可通过“关于Google Chrome”执行手动更新。