聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

今天，微软发布安全公告，发布了CVSS 评分为7.3、继CVE-2021-1675和CVE-2021-34527之后的第3枚Print Spooler 服务系列漏洞（CVE-2021-34481）。

（Windows PrintNightmare 漏洞和补丁分析）

谷歌发布安全公告，修复一枚0day漏洞 (CVE-2021-30563)。

微软发布PrintNightmare 系列第3枚0day

根据微软的描述，当 Windows Print Spooler 服务不正确地执行权限文件操作时会触发该本地提权漏洞。如攻击者能够成功利用该漏洞，则可以系统权限运行任意代码，之后执行安装程序；查看、更改、或删除数据；或以完整的用户权限创建新账户。

攻击者必须能够在受害者系统上执行代码才能利用该漏洞。

微软给出的缓解措施时停止并禁用 Print Spooler 服务，补丁尚未推出。

微软指出，该漏洞已被公开，但尚未遭利用。

谷歌修复第8枚已遭利用新0day

今天，谷歌发布 Chrome web 浏览器的安全更新，其中包含一个已遭在野利用的 0day 补丁。

该漏洞的编号是CVE-2021-30563，是位于V8 中的“类型混淆“漏洞。谷歌并未公布关于该漏洞如何、何时以及在哪里被利用的详情。

谷歌建议用户将浏览器更新至已打补丁的 Chrome 版本91.0.4472.164。

实际上该漏洞是谷歌 Chrome 已遭利用的第8枚0day，其它7枚0day 为：

• CVE-2021-21148 – Chrome 88.0.4324.150（2021年2月4日）

• CVE-2021-21166 – Chrome 89.0.4389.72（2021年3月2日）

• CVE-2021-21193 – Chrome 89.0.4389.90（2021年3月12日）

• CVE-2021-21220 – Chrome 89.0.4389.128（2021年4月13日）

• CVE-2021-21224 – Chrome 90.0.4430.85（2021年4月20日）

• CVE-2021-30551 – Chrome 91.0.4472.101（2021年6月9日）

• CVE-2021-30554 – Chrome 91.0.4472.114（2021年6月17日）

推荐阅读

Windows PrintNightmare 漏洞和补丁分析

PrintNightmare 漏洞的补丁管用吗？安全界和微软有不同看法

微软7月修复117个漏洞，其中9个为0day，2个是Pwn2Own 漏洞

谷歌公布4个0day详情，其中3个被滥用于攻击亚美尼亚

原文链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481

https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop.html

https://therecord.media/google-patches-chrome-zero-day-eighth-one-in-2021/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~