谷歌修复另一枚已遭利用的 Chrome 释放后使用0day,细节未公开
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
谷歌修复了 Chrome 浏览器中已遭利用的另一枚 0day,成为该公司在一个月内修复的第二枚 0day。
上周五,谷歌发布 Windows、Mac 和 Linux 版本的Chrome 89.0.4389.90,有望在未来几天或几周的时间内向所有用户推出。
漏洞概述
虽然这次更新共包含5个安全修复方案,但最重要的是存在于 Blink 渲染引擎中的一个释放后使用漏洞 (CVE-2021-21193)。该漏洞由一名匿名研究员在3月9日向谷歌报告,所披露细节很少。
有媒体报道称,该漏洞可导致远程攻击者攻陷易受攻击系统。该漏洞是因为 Chrome 的 Blink 组件中存在使用后释放错误造成的。远程攻击者利用特殊构造的网页诱骗受害者进行访问,从而触发释放后使用错误并在系统上执行任意代码。成功利用该漏洞可使攻击者攻陷易受攻击系统。
受影响的版本包括 Google Chrome:86.0.4240.99、86.0.4240.193、86.0.4240.198、87.0.4280.66、87.0.4280.88、87.0.4280.141、88.0.4324.96、88.0.4324.146、88.0.4324.150、88.0.4324.182 和89.0.4389.72。
和其它已遭利用的缺陷的情况一样,谷歌发布简短声明证实 CVE-2021-21193 已存在但并未分享更多详情,以使大部分用户更新浏览器并阻止其它恶意人员创建针对该 0day 的更多 exploit。
Chrome 技术项目经理 Prudhvikumar Bommana 在博客文章中指出,“谷歌发现在野存在 CVE-2021-21193 exploit 报告。”
开年已修复3个 0day
这次更新标志着从2021年起,谷歌已经修复了3个 0day 缺陷。
本月初,谷歌发布了“audio 中的对象生命周期问题” (CVE-2021-21166) 的修复方案,据称已遭利用。2月4日,谷歌解决了位于 V8 JavaScript渲染引擎中的另外一个已遭利用的缓冲区溢出漏洞 (CVE-2021-21148)。
Chrome 用户可通过 Settings > Help > About Google Chrome 更新至最新版本,缓解与该漏洞相关的风险。
推荐阅读
Google Update Service 被曝提权 0day,谷歌拒绝修复
谷歌修复又一枚遭在野利用的 Chrome 0day
0day影响 Chrome和 Safari,谷歌不修复
谷歌修复已遭利用的 Chrome 0day
参考链接
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html
https://www.cybersecurity-help.cz/vulnerabilities/51436/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
谷歌修复另一枚已遭利用的 Chrome 释放后使用0day,细节未公开相关推荐
- 微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今天,微软发布安全公告,发布了CVSS 评分为7.3.继CVE-2021-1675和CVE-2021-34527之后的第3枚Print S ...
- Mozilla 修复已遭利用的两个火狐浏览器 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Mozilla 发布火狐 web 浏览器更新,修复了两个已遭利用的严重的释放后使用漏洞. 其中一个漏洞 CVE-2020-6819 被 ...
- 谷歌修复已遭利用的 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌修复了 Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows.Mac 和 Linux ...
- 谷歌Chrome 紧急修复已遭利用的两个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布适用于 Windows.Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本,修复已遭利用的两个0day(CVE ...
- 谷歌再修复已遭利用的两个高危 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day.不过这次并不像之前那样由谷歌内部团队发 ...
- 谷歌紧急修复已遭利用的新 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,谷歌紧急修复已遭利用的 Chrome 0day (CVE-2022-1096),和 V8 JavaScript 引擎中的类型混淆漏洞有关 ...
- 谷歌修复又一枚遭在野利用的 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌修复了 Chrome 89.0.4389.72 版本中已遭活跃利用的 0day (CVE-2021-21166).该版本已向所有用 ...
- 谷歌和 Zyxel 各修复一个已遭利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 C ...
- 谷歌紧急修复今年已遭利用的第9个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 当地时间上周五,谷歌紧急修复已遭利用的Chrome 高危0day (CVE-2022-4262). 该漏洞是位于V8 JavaScript引擎中 ...
最新文章
- 阿里云服务器部署项目
- Cisco ××× 完全配置指南-连载-IPSec
- ant design pro (十六)advanced 权限管理
- C1之路 | 训练任务04-JavaScript
- Linux系统中查看图片信息
- 又一Attention函数诞生啦,带给你意想不到的巨大提升!
- [振动力学]期中复习
- 今日新出!旷视提出One-Shot模型搜索框架的新变体
- gfirefly 框架分析
- kali2.0 U盘安装的工具
- uuid会重复吗_UUID的版本你知道吗
- web远程桌面客户端_您所说的内容:桌面与基于Web的电子邮件客户端
- 新版华为P30,这5个新功能C位出道,3988值得拥有
- 告别第三方检测,教你用Windows自带工具检测!
- 标签名选择器、id选择器、class类型选择器、组合选择器
- penn treebank_Penn Manor致力于开源
- 中小学数学卷子自动生成程序分析
- Stratifyd AI: 5,300万数据,800万用户,利用垂直论坛评论绘制精准用户性格画像
- 二维几何变换java代码_基于Batik的SVG应用: 关于几何变换
- js实现 todoList