聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

谷歌修复了 Chrome 浏览器中已遭利用的另一枚 0day,成为该公司在一个月内修复的第二枚 0day。

上周五,谷歌发布 Windows、Mac 和 Linux 版本的Chrome 89.0.4389.90,有望在未来几天或几周的时间内向所有用户推出。

漏洞概述

虽然这次更新共包含5个安全修复方案,但最重要的是存在于 Blink 渲染引擎中的一个释放后使用漏洞 (CVE-2021-21193)。该漏洞由一名匿名研究员在3月9日向谷歌报告,所披露细节很少。

有媒体报道称,该漏洞可导致远程攻击者攻陷易受攻击系统。该漏洞是因为 Chrome 的 Blink 组件中存在使用后释放错误造成的。远程攻击者利用特殊构造的网页诱骗受害者进行访问,从而触发释放后使用错误并在系统上执行任意代码。成功利用该漏洞可使攻击者攻陷易受攻击系统。

受影响的版本包括 Google Chrome:86.0.4240.99、86.0.4240.193、86.0.4240.198、87.0.4280.66、87.0.4280.88、87.0.4280.141、88.0.4324.96、88.0.4324.146、88.0.4324.150、88.0.4324.182 和89.0.4389.72。

和其它已遭利用的缺陷的情况一样,谷歌发布简短声明证实 CVE-2021-21193 已存在但并未分享更多详情,以使大部分用户更新浏览器并阻止其它恶意人员创建针对该 0day 的更多 exploit。

Chrome 技术项目经理 Prudhvikumar Bommana 在博客文章中指出,“谷歌发现在野存在 CVE-2021-21193 exploit 报告。”

开年已修复3个 0day

这次更新标志着从2021年起,谷歌已经修复了3个 0day 缺陷。

本月初,谷歌发布了“audio 中的对象生命周期问题” (CVE-2021-21166) 的修复方案,据称已遭利用。2月4日,谷歌解决了位于 V8 JavaScript渲染引擎中的另外一个已遭利用的缓冲区溢出漏洞 (CVE-2021-21148)。

Chrome 用户可通过 Settings > Help > About Google Chrome 更新至最新版本,缓解与该漏洞相关的风险。

推荐阅读

Google Update Service 被曝提权 0day,谷歌拒绝修复

谷歌修复又一枚遭在野利用的 Chrome 0day

0day影响 Chrome和 Safari,谷歌不修复

谷歌修复已遭利用的 Chrome 0day

参考链接

https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html

https://www.cybersecurity-help.cz/vulnerabilities/51436/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

谷歌修复另一枚已遭利用的 Chrome 释放后使用0day,细节未公开相关推荐

  1. 微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今天,微软发布安全公告,发布了CVSS 评分为7.3.继CVE-2021-1675和CVE-2021-34527之后的第3枚Print S ...

  2. Mozilla 修复已遭利用的两个火狐浏览器 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Mozilla 发布火狐 web 浏览器更新,修复了两个已遭利用的严重的释放后使用漏洞. 其中一个漏洞 CVE-2020-6819 被 ...

  3. 谷歌修复已遭利用的 Chrome 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌修复了 Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows.Mac 和 Linux ...

  4. 谷歌Chrome 紧急修复已遭利用的两个0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布适用于 Windows.Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本,修复已遭利用的两个0day(CVE ...

  5. 谷歌再修复已遭利用的两个高危 Chrome 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day.不过这次并不像之前那样由谷歌内部团队发 ...

  6. 谷歌紧急修复已遭利用的新 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,谷歌紧急修复已遭利用的 Chrome 0day (CVE-2022-1096),和 V8 JavaScript 引擎中的类型混淆漏洞有关 ...

  7. 谷歌修复又一枚遭在野利用的 Chrome 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌修复了 Chrome 89.0.4389.72 版本中已遭活跃利用的 0day (CVE-2021-21166).该版本已向所有用 ...

  8. 谷歌和 Zyxel 各修复一个已遭利用的 0day

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 C ...

  9. 谷歌紧急修复今年已遭利用的第9个0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 当地时间上周五,谷歌紧急修复已遭利用的Chrome 高危0day (CVE-2022-4262). 该漏洞是位于V8 JavaScript引擎中 ...

最新文章

  1. 阿里云服务器部署项目
  2. Cisco ××× 完全配置指南-连载-IPSec
  3. ant design pro (十六)advanced 权限管理
  4. C1之路 | 训练任务04-JavaScript
  5. Linux系统中查看图片信息
  6. 又一Attention函数诞生啦,带给你意想不到的巨大提升!
  7. [振动力学]期中复习
  8. 今日新出!旷视提出One-Shot模型搜索框架的新变体
  9. gfirefly 框架分析
  10. kali2.0 U盘安装的工具
  11. uuid会重复吗_UUID的版本你知道吗
  12. web远程桌面客户端_您所说的内容:桌面与基于Web的电子邮件客户端
  13. 新版华为P30,这5个新功能C位出道,3988值得拥有
  14. 告别第三方检测,教你用Windows自带工具检测!
  15. 标签名选择器、id选择器、class类型选择器、组合选择器
  16. penn treebank_Penn Manor致力于开源
  17. 中小学数学卷子自动生成程序分析
  18. Stratifyd AI: 5,300万数据,800万用户,利用垂直论坛评论绘制精准用户性格画像
  19. 二维几何变换java代码_基于Batik的SVG应用: 关于几何变换
  20. js实现 todoList

热门文章

  1. vmstat工具详解
  2. 手动编译cloudfoundry
  3. windows服务开发(一、安装)
  4. 当打开VS2013卡到吐,并且点一下卡一下
  5. 飞康力推“一次付费”的存储定价模式
  6. rhel6.4部署tomcat
  7. Android CircleImageView圆形ImageView
  8. 学习《Python核心编程》做一下知识点提要,方便复习(二)
  9. 修改注册表来修改IE的设置---资料汇总
  10. Android4.2中Phone的P-sensor的应用的分析。