Google修补2个已发生攻击的Chrome零时差漏洞

在苹果及微软相继释出安全更新修补旗下软件漏洞的同时，Google也修补了2个已经发生开采活动的Chrome漏洞。

Google是在周一针对Windows、Mac及Linux释出稳定版Chrome 93.0.4577.82，以解决11项漏洞。其中2个漏洞包括CVE-2021-30632 和CVE-2021-30633，Google警告已经有攻击程式在网络上流传。

两个零时差漏洞，CVE-2021-30632 和CVE-2021-30633通报身份皆被列为“匿名”。其中CVE-2021-30632是位于V8 JavaScript引擎中的越界写入（out of bounds write）漏洞。CVE-2021-30633则位于Indexed DB API的使用已释放内存（use after free）漏洞。

Google并未说明两个漏洞或攻击活动的细节。不过ThreatPost报导，越界写入漏洞可能造成资料毁损、程式当掉或是程式码执行。而使用已释放内存漏洞的灾情，可以从资料毁损到任意程式码执行不等。

此外，V8 JavaScript引擎同时也包含在Chromium-based浏览器，因此这项漏洞也可能影响Edge、Brave、Opera等其他浏览器。

其他漏洞皆属于高风险漏洞，分别影响Chrome中的Blink引擎、ANGLE、Selection API及存取许可Permissions元件。

Google表示，所有桌机平台的新版Chrome，将在未来几天到几周内部署给用户。

安全专家也警告，一旦漏洞揭露，攻击活动也会接踵而来，因此用户最好尽速更新到最新版本以免受骇。