微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
编译:奇安信代码卫士
今天,微软发布安全公告,发布了CVSS 评分为7.3、继CVE-2021-1675和CVE-2021-34527之后的第3枚Print Spooler 服务系列漏洞(CVE-2021-34481)。
(Windows PrintNightmare 漏洞和补丁分析)
谷歌发布安全公告,修复一枚0day漏洞 (CVE-2021-30563)。
根据微软的描述,当 Windows Print Spooler 服务不正确地执行权限文件操作时会触发该本地提权漏洞。如攻击者能够成功利用该漏洞,则可以系统权限运行任意代码,之后执行安装程序;查看、更改、或删除数据;或以完整的用户权限创建新账户。
攻击者必须能够在受害者系统上执行代码才能利用该漏洞。
微软给出的缓解措施时停止并禁用 Print Spooler 服务,补丁尚未推出。
微软指出,该漏洞已被公开,但尚未遭利用。
今天,谷歌发布 Chrome web 浏览器的安全更新,其中包含一个已遭在野利用的 0day 补丁。
该漏洞的编号是CVE-2021-30563,是位于V8 中的“类型混淆“漏洞。谷歌并未公布关于该漏洞如何、何时以及在哪里被利用的详情。
谷歌建议用户将浏览器更新至已打补丁的 Chrome 版本91.0.4472.164。
实际上该漏洞是谷歌 Chrome 已遭利用的第8枚0day,其它7枚0day 为:
CVE-2021-21148 – Chrome 88.0.4324.150(2021年2月4日)
CVE-2021-21166 – Chrome 89.0.4389.72(2021年3月2日)
CVE-2021-21193 – Chrome 89.0.4389.90(2021年3月12日)
CVE-2021-21220 – Chrome 89.0.4389.128(2021年4月13日)
CVE-2021-21224 – Chrome 90.0.4430.85(2021年4月20日)
CVE-2021-30551 – Chrome 91.0.4472.101(2021年6月9日)
CVE-2021-30554 – Chrome 91.0.4472.114(2021年6月17日)
PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
谷歌公布4个0day详情,其中3个被滥用于攻击亚美尼亚
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop.html
https://therecord.media/google-patches-chrome-zero-day-eighth-one-in-2021/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。