谷歌Chrome 紧急修复已遭利用的两个0day
编译:代码卫士
谷歌发布适用于 Windows、Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本,修复已遭利用的两个0day(CVE-2021-38000和CVE-2021-38003)。
虽然谷歌表示新版本可能需要一点时间才能推送给所有人,但已开始在 Stable Desktop 频道向全球用户推出更新版本 Chrome 95.0.4638.69。如用户需立即安装新版本,则可通过 Chrome menu > Help > About Google Chrome,之后浏览器将开始执行更新。另外, Chrome 也会检查可用更新并在用户下次启动浏览器时安装。
谷歌本次发布的 Chrome 版本共修复了7个漏洞,上述两个0day已遭在野利用。
第一个0day 是CVE-2021-38000,是由“对 Intents 中不可信输入的验证不充分“造成的,严重等级为”高危“。该漏洞是由谷歌威胁分析组织的研究员 Clement Lecigne、Neel Mehta 和 Maddie Stone 在2021年9月15日发现的。
第二个0day 是 CVE-2021-38003,是存在于 Chrome JavaScript 引擎中的 “实现不正确“高危漏洞,是由 Lecigne 在10月24日发现并报告的。
截至目前,谷歌或安全研究员并未透露威胁行动者如何在攻击中利用这些漏洞。不过既然是谷歌公司自己发现的,之后 TAG 或 Project Zero 团队可能会发布相关报告。
由于这两个漏洞已被用于攻击中,因此建议所有 Chrome 用户手动更新或重启浏览器安装最新版本。
这是谷歌自2021年以来修复的第15个0day。其它13个0day是:
CVE-2021-21148 – 2021年2月4日
CVE-2021-21166 - 2021年3月2日
CVE-2021-21193 - 2021年3月12日
CVE-2021-21220 - 2021年4月13日
CVE-2021-21224 – 2021年4月20日
CVE-2021-30551 - 2021年6月9日
CVE-2021-30554 - 2021年6月17日
CVE-2021-30563 - 2021年7月15日
CVE-2021-30632 和CVE-2021-30633 – 9月13日
CVE-2021-37973 - 2021年9月24日
CVE-2021-37976 和CVE-2021-37975 - 2021年9月30日
谷歌修复已遭在野利用的两个 0day
谷歌悄悄修复4个 0day
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
谷歌公布4个0day详情,其中3个被滥用于攻击亚美尼亚
https://www.bleepingcomputer.com/news/google/emergency-google-chrome-update-fixes-zero-days-used-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。