Google 于 2 月 5 日发布了针对 Windows、Mac 和 Linux 用户的 Chrome 小版本更新,更新后 Chrome 的版本号来到了 88.0.4324.150。在这个版本中 Google 解决了一个已被利用的零日安全漏洞(zero-day vulnerability)。
这个被 Google 评定为高度严重的漏洞被命名为 CVE-2021-21148,并且在 2021 年 1 月 24 日由 Google Project Zero 的安全研究员 Mattias Buelens 所提交。
这个零日漏洞被描述为 V8 中的堆缓冲区溢出错误,V8 是一个 Google 开源的,并基于 C++ 的高性能 WebAssembly 和 JavaScript 引擎。尽管缓冲区溢出通常会导致浏览器崩溃,但攻击者仍然可以利用缓冲区溢出在运行了存在漏洞的软件的系统上执行任意代码。
Google 在 Chrome 88.0.4324.150 更新公告中写道:“ Google 已了解到有报告指出存在针对 CVE-2021-21148 漏洞的利用”。尽管如此,但 Google 并未提供有关这些攻击背后的任何详细信息。
Google 还补充表示:“在大多数用户使用修补程序更新之前,对错误详细信息和链接的访问可能会受到限制。如果该问题存在于尚未修复的第三方库中,并且其他项目同样依赖于这些库,我们还将持续保留这些限制。”
这个举措应该可以为 Chrome 用户提供更多的时间来安装发布的安全更新。Windows、Mac 和 Linux 桌面用户可以通过转到「设置」 ->「帮助」 -> 「关于 Google Chrome」 升级到最新版本的 Chrome。Chrome 浏览器也会自动检查更新并在可用时进行安装。
Google 也曾在去年 10 月 20 日至 11 月 12 日的一个月时间内,修复了五个 Chrome 零日漏洞。
本文转自OSCHINA
本文标题:Google 再次修复 Chrome 零日漏洞
本文地址:https://www.oschina.net/news/129184/google-fixes-chrome-zero-day-vulnerability
