聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌发布适用于 Windows、Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本，修复已遭利用的两个0day（CVE-2021-38000和CVE-2021-38003）。

虽然谷歌表示新版本可能需要一点时间才能推送给所有人，但已开始在 Stable Desktop 频道向全球用户推出更新版本 Chrome 95.0.4638.69。如用户需立即安装新版本，则可通过 Chrome menu > Help > About Google Chrome，之后浏览器将开始执行更新。另外， Chrome 也会检查可用更新并在用户下次启动浏览器时安装。

详情未披露

谷歌本次发布的 Chrome 版本共修复了7个漏洞，上述两个0day已遭在野利用。

第一个0day 是CVE-2021-38000，是由“对 Intents 中不可信输入的验证不充分“造成的，严重等级为”高危“。该漏洞是由谷歌威胁分析组织的研究员 Clement Lecigne、Neel Mehta 和 Maddie Stone 在2021年9月15日发现的。

第二个0day 是 CVE-2021-38003，是存在于 Chrome JavaScript 引擎中的 “实现不正确“高危漏洞，是由 Lecigne 在10月24日发现并报告的。

截至目前，谷歌或安全研究员并未透露威胁行动者如何在攻击中利用这些漏洞。不过既然是谷歌公司自己发现的，之后 TAG 或 Project Zero 团队可能会发布相关报告。

由于这两个漏洞已被用于攻击中，因此建议所有 Chrome 用户手动更新或重启浏览器安装最新版本。

今年修复的第14和第15个0day

这是谷歌自2021年以来修复的第15个0day。其它13个0day是：

• CVE-2021-21148 – 2021年2月4日

• CVE-2021-21166 - 2021年3月2日

• CVE-2021-21193 - 2021年3月12日

• CVE-2021-21220 - 2021年4月13日

• CVE-2021-21224 – 2021年4月20日

• CVE-2021-30551 - 2021年6月9日

• CVE-2021-30554 - 2021年6月17日

• CVE-2021-30563 - 2021年7月15日

• CVE-2021-30632 和CVE-2021-30633 – 9月13日

• CVE-2021-37973 - 2021年9月24日

• CVE-2021-37976 和CVE-2021-37975 - 2021年9月30日

推荐阅读

谷歌紧急修复已遭在野利用的Chrome 0day

谷歌修复已遭在野利用的两个 0day

谷歌悄悄修复4个 0day

微软公开PrintNightmare系列第3枚无补丁0day，谷歌修复第8枚已遭利用0day

谷歌公布4个0day详情，其中3个被滥用于攻击亚美尼亚

原文链接

https://www.bleepingcomputer.com/news/google/emergency-google-chrome-update-fixes-zero-days-used-in-attacks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~