今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day。
这两个漏洞是 CVE-2021-37975和CVE-2021-37976,分别是V8 JavaScript 和 WebAssembly 引擎中的释放后使用缺陷和内核中的信息泄露漏洞。
和往常一样,谷歌并未分享关于漏洞利用的任意相关详情,从而使大多数用户能够打补丁,不过表示已在野出现这两个漏洞的exploit。
CVE-2021-37975 是由匿名研究员发现的,CVE-2021-37976是由谷歌威胁分析组织的研究员Clément Lecigne 发现的;Lecigne 此前不久曾发现另外一枚遭活跃利用的、位于 Chrome Portals API 中的释放后使用漏洞,而这一事实让人猜测这两个0day是否是同一利用链的一部分且可导致任意代码执行后果。
从年初到现在,谷歌已解决了14个0day,如下:
- CVE-2021-21148 – V8中的对缓冲区溢出漏洞
- CVE-2021-21166 – 音频中的对象回收问题
- CVE-2021-21193 – Blink 中的释放后使用漏洞
- CVE-2021-21206 – Blink 中的释放后使用漏洞
- CVE-2021-21220 – x86_64 位V8中不可信输入的验证不充分漏洞
- CVE-2021-21224 – V8中的类型混淆漏洞
- CVE-2021-30551 – V8中的类型混淆漏洞
- CVE-2021-30554 – WebGL中的释放后使用漏洞
- CVE-2021-30563 – V8中的类型混淆漏洞
- CVE-2021-30632 – V8中的界外写漏洞
- CVE-2021-30633 – Indexed DB API 中的释放后使用漏洞
- CVE-2021-37973 – Portals中的释放后使用漏洞
建议 Chrome 用户尽快更新至Chrome 的最新版本94.0.4606.71。
最新评论
Thanks for your blog, nice to read. Do not stop.
1
1
你图片显示不了
你的网站怎么注册啊