Google、微软紧急修补浏览器高风险漏洞

Google与微软周末紧急释出更新版Chrome及Chrome-based Edge浏览器，以修补6个高风险漏洞。

德国网络安全应变中心于周末发布安全公告，显示Google Chrome及微软Edge浏览器的6个漏洞，可让远端攻击者开采以发动未指明对象的攻击。这批漏洞被评估为高度风险。

受影响的版本包括Google Chrome 92.0.4515.159以前版本，及Edge 92.0.902.78以前的版本，且同时涵括Linux、MacOS X、UNIX和Windows平台。

6个漏洞包括CVE-2021-30598到CVE-2021-30604。其中CVE-2021-30598和CVE-2021-30599为JavaScript v8引擎的类型混淆漏洞。CVE-2021-30603为WebStudio元件的竞争条件漏洞。CVE-2021-30600、CVE-2021-30601、CVE-2021-30602及CVE-2021-30604，则是分别位于Printing、Extensions API、WebRTC及ANGLE专案中的使用已释放（Use after free）漏洞。除了WebRTC的漏洞是Google Project Zero找到，其余都是来自外部研究人员的通报。

这是今年V8引擎至少第三度传出同一类型的漏洞，前两次分别发生于4月及6月。

Google为了等大部分用户都更新，而暂时隐藏了这些漏洞的技术细节。Google未说明这批漏洞是否已发生开采活动。

Google周末释出稳定版的Chrome 92.0.4515.159版本，先修补Windows版，Mac和Linux平台版本则会在未来几天到几周陆续部署。微软则是释出稳定版Edge 92.0.902.78版。