Google在今年的10月6日发布了Chrome 86,该版本除了具备简化被黑密码修改程序,以及限制背景分页的资源使用等新功能之外,也修补了35个安全漏洞,不过,Google却在本周二(10/20)发布Chrome 86.0.4240.111,紧急修补了5个安全漏洞,同时警告其中的CVE-2020-15999已遭黑客开采。
这5个安全漏洞有4个被列为高度风险等级,分别是涉及Blink的CVE-2020-16000、媒体的释放后使用漏洞CVE-2020-16001、PDFium的释放后使用漏洞CVE-2020-16002,以及Freetype中的堆积缓冲区溢出漏洞CVE-2020-15999,另一个被列为中度风险的CVE-2020-16003,则是属于打印功能的释放后使用漏洞。
其中最严重的应该是CVE-2020-15999,因为Google Project Zero的团队成员Sergei Glazunov是在10月19日提报该漏洞,而Google隔天就发布修补程序,此外,Google还说已接获了许多报告,显示出坊间已存在针对CVE-2020-15999漏洞的攻击程序。
目前Google并不打算对外公布漏洞细节,以让用户有充裕的修补时间,此次的修补主要针对桌面版Chrome,涵盖Windows、macOS与Linux,且预计在未来几天或几周内部署。