|
Google 已经发布了新的 Chrome 更新,修复编号为 CVE-2021-21222、CVE-2021-21223、CVE-2021-21225、CVE-2021-21226、CVE-2021-21224 的漏洞,请用户把 Chrome 浏览器更新至 90.0.4430.85 或以上版本,支持 Windows、Mac 和 Linux 端的 Chrome 浏览器。该更新包含七个安全漏洞更新,其中包括一个已被利用的零日漏洞。
新闻内容 Chrome 技术项目经理 Srinivas Sista 在选写的公告中介绍了五个漏洞: CVE-2021-21222:V8 的堆缓冲区溢出,由奇虎 360 阿尔法实验室于 2021-03-30 报告。 CVE-2021-21223:Mojo 中的整数溢出,由奇虎 360 阿尔法实验室于 2021-04-02 报告。 CVE-2021-21225:V8 中的越界内存访问,于 2021-04-05 报告。 CVE-2021-21226:在导航中 UAF(Use after Free)漏洞,于 2021-04-11 报告。 CVE-2021-21224:V8 中的类型混淆,由 VerSprite Inc. 于 2021-04-05 报告。 注:其中最后一个标识符为 CVE-2021-21224 的漏洞即是零日漏洞。Srinivas Sista 在公告中写道:"Google 已了解到有报告指出 CVE-2021-21224 漏洞有被利用的情况“,但并没有分享任何有关该零日漏洞的细节。不过,根据安全专家在 Twitter 上分享的内容显示,这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能(一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能)。
建议 建议用户及时的手动检查更新并修复上述问题,Linux 系统用户如更新有问题,可参考在Linux系统中出现Chrome无法更新至最新版本的解决方法。另外,更新后要查看版本号,低于 90.0.4430.85 的都存在以上安全风险,请注意辨别。
相关主题 |
