谷歌釋出安全更新，修復今年第十個0day漏洞

編輯：左右裡

谷歌近日釋出了Chrome 93.0.4577.82的安全更新，修復了兩個0day記憶體漏洞。除此之外，還公佈了一些發現漏洞的安全研究人員及其提交漏洞獲得的獎金。

 

今年9月8日，有人匿名將這兩個0day漏洞提交給谷歌，其中CVE-2021-30632 是V8 JavaScript引擎中的越界寫入漏洞，CVE-2021-30633 是Indexed DB API中的釋放後使用漏洞。

 

這些漏洞通常的影響是瀏覽器崩潰，但在駭客手中，它們還可以被利用於實施遠端程式碼執行等惡意行為，且據谷歌稱漏洞已被在野利用。

 

谷歌今年修復的其他漏洞一覽：

CVE-2021-21148 - 2021年2月4日

CVE-2021-21166 - 2021年3月2日

CVE-2021-21193 - 2021年3月12日

CVE-2021-21220 - 2021年4月13日

CVE-2021-21224 - 2021年4月20日

CVE-2021-30551 - 2021年6月9日

CVE-2021-30554 - 2021年6月17日

CVE-2021-30563 - 2021年7月15日

 

谷歌每年都會披露十幾二十個0day漏洞，之所以數量會這麼多，一方面是因為谷歌使用者比較多，漏洞價值高，比較受駭客青睞。

 

另一方面，也有可能是有大量安全研究人員在研究、發現並報告0day漏洞，幫助開發商及時修復漏洞保護使用者。

 

因此，被披露的漏洞多並不一定代表產品本身存在巨大問題，反而可能是件好事。隨著企業整體在網路安全方面的進步，攻擊者也需要更多的0day來實現攻擊。如果能有更多的安全研究人員搶在不法分子之前將漏洞披露給開發商，就能使大量企業免遭損失。

 

最後提醒一下，大家這次也不要忘了更新哦，更新的方法很簡單，開啟Google Chrome瀏覽器“設定”> “關於 Chrome”，點選更新並重啟即可。

 

資訊來源：BleepingComputer

轉載請註明出處和本文連結

推薦文章++++

* 一度銷聲匿跡的世界最大勒索軟體團伙之一REvil重出江湖

* 不要隨便開啟Office文件，微軟又有高危0day漏洞

* 又一款駭客資料線，能夠記錄鍵盤輸入甚至控制裝置

* Babuk勒索軟體原始碼公開，曾入侵併勒索華盛頓特區警察局

* FTC對間諜軟體SpyFone發出禁令！命令其刪除非法收集的資料

* 非接觸式萬事達卡和Maestro卡被曝新漏洞！駭客可免密支付

* 微軟正式宣佈Win 11升級時間，仍缺少一個最關鍵功能

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com