Google再修补10个Chrome安全漏洞,其中一个已被开采

Google于本周一(11/2)发布了支持Windows、macOS与Linux的Chrome 86.0.4240.183,该版并无任何功能上的更新,且是Google继于10月6日发布Chrome 86以来,第二度紧急更新Chrome,以修补重大的安全漏洞,并警告其中的CVE-2020-16009漏洞攻击程序已经现身。

CVE-2020-16009漏洞涉及到Chromium项目所开发的开源JavaScript引擎V8,不当的实例将引发远程程序攻击漏洞,Google并未公布漏洞细节,仅说该漏洞是由自家Project Zero的Samuel Groß与威胁分析团队的Clement Lecigne所发现。

这次的Chrome总计修补了10个安全漏洞,其中至少有7个被列为高度(High)风险漏洞,除了CVE-2020-16009之外,还包括用户接口上的释放后使用漏洞CVE-2020-16004、ANGLE中的政策执行不足漏洞CVE-2020-16005、安装程序中的资料验证不足漏洞CVE-2020-16007、WebRTC中的堆栈缓冲区溢出漏洞CVE-2020-16008、Windows接口中的堆积缓冲区溢出漏洞CVE-2020-16011,以及另一个V8实例不当漏洞CVE-2020-16006。

Google在10月6日发布的Chrome 86便已修补了35个安全漏洞,但只有一个属于高度风险等级,10月20则额外修补5个漏洞,有4个属于高度风险,本周再修补10个安全漏洞,至少有7个被列为高度风险,让Chrome 86所修补的安全漏洞总数达到50个。