Google本周发布Chrome 95.0.4638.69版稳定版给Windows、Mac及Linux用户,以修补数个高风险漏洞,包括2个已被开采的重大漏洞。
最新版Chrome修补了7个高风险漏洞,其中已遭到开采或有开采程序的漏洞为CVE-2021-38000及CVE-2021-38003。CVE-2021-38000为Chrome中的Intents功能对未信任的输入验证不足,是由Google威胁分析小组(TAG)研究员Clement Lecigne、Neel Mehta及Maddie Stone通报。
CVE-2021-38003则出于Chrome V8引擎实例不当,由Google TAG成员Clément Lecigne :及Project Zero研究员Samuel Groß通报。
其他漏洞包括V8中的类型混淆漏洞CVE-2021- 38001,新分页组件的资料验证不足漏洞CVE-2021-37999,以及分别位于Sign-In、Garbage Collection及Web Transport组件中的使用已释放内存漏洞CVE-2021-37997、CVE-2021-37998及CVE-2021-38002。这些漏洞都是外部研究人员发现并通报。
Google希望在大部分用户更新前不公开漏洞,因此并未多做描述。
这已是Chrome小组今年修补的第15个零时差漏洞。