Chrome釋出最新版本,修復一個在野0day

Editor發表於2021-02-05

1月28日微軟披露了一個高危漏洞(CVE-2021-21148),這是一個存在於V8中的堆緩衝區溢位錯誤,V8是Google開源的、基於C++的高效能WebAssembly和JavaScript引擎。


遠端攻擊者可以誘使受害者開啟其精心構造的網頁,觸發基於堆的緩衝區溢位,並在目標系統上執行任意程式碼。成功利用此漏洞可能導致易受攻擊的系統完全受損。


該漏洞正在野外被積極利用。谷歌認為一個由朝鮮政府支援的駭客組織ZINC 很可能使用該漏洞來瞄準漏洞研究人員。


近日Google在其釋出的Chrome 88.0.4324.150版本,針對Windows、Mac和Linux使用者修復了這個漏洞。


接下來,Chrome將自動檢查新更新並在可用時進行安裝,並在接下來的幾天/幾周內推廣到整個使用者群。Windows,Mac和Linux桌面使用者可以透過轉到設定 -> 幫助 -> 關於Google Chrome升級到Chrome 88。


谷歌在一份宣告中表示,“在大多數使用者使用補丁更新之前,對bug細節和連結的訪問可能會受到限制。如果bug存在於其他專案所依賴的第三方庫中,但尚未修復,我們也將保留限制。”


此外,Chrome 88的最新版本還發布了一系列其他更新,正式揮別FTP與Adobe Flash兩個老面孔。基於使用率低、且缺乏加密存在資安風險的考量,Chrome 88停止支援FTP,不再支援 ftp:// 開頭的網址,並且新增了PDF功能,使其可以顯示PDF後設資料。此外,還增添檢查密碼機制,讓習慣Chrome記憶密碼的使用者更添保障。




Chrome釋出最新版本,修復一個在野0day

公眾號ID:ikanxue

官方微博:看雪安全

商務合作:wsc@kanxue.com


相關文章