尽快更新！Chrome修复两个已遭在野利用的0day漏洞

今年9月末，谷歌紧急推出 Chrome 浏览器修复方案，其中包括修复了已遭利用的两个0day，称为该公司在9月修复的第四枚和第五枚0day。

这两个漏洞是 CVE-2021-37975和CVE-2021-37976，分别是V8 JavaScript 和 WebAssembly 引擎中的释放后使用缺陷和内核中的信息泄露漏洞。

和往常一样，谷歌并未分享关于漏洞利用的任意相关详情，从而使大多数用户能够打补丁，不过表示已在野出现这两个漏洞的exploit。

CVE-2021-37975 是由匿名研究员发现的，CVE-2021-37976是由谷歌威胁分析组织的研究员Clément Lecigne 发现的；Lecigne 此前不久曾发现另外一枚遭活跃利用的、位于 Chrome Portals API 中的释放后使用漏洞，而这一事实让人猜测这两个0day是否是同一利用链的一部分且可导致任意代码执行后果。

从年初到现在，谷歌已解决了14个0day，如下：

• CVE-2021-21148 – V8中的对缓冲区溢出漏洞
• CVE-2021-21166 – 音频中的对象回收问题
• CVE-2021-21193 – Blink 中的释放后使用漏洞
• CVE-2021-21206 – Blink 中的释放后使用漏洞
• CVE-2021-21220 – x86_64 位V8中不可信输入的验证不充分漏洞
• CVE-2021-21224 – V8中的类型混淆漏洞
• CVE-2021-30551 – V8中的类型混淆漏洞
• CVE-2021-30554 – WebGL中的释放后使用漏洞
• CVE-2021-30563 – V8中的类型混淆漏洞
• CVE-2021-30632 – V8中的界外写漏洞
• CVE-2021-30633 – Indexed DB API 中的释放后使用漏洞
• CVE-2021-37973 – Portals中的释放后使用漏洞

建议 Chrome 用户尽快更新至Chrome 的最新版本94.0.4606.71。