Google紧急修补两个已被开采的Chrome零时差漏洞

Google在9月30日释出了Chrome 94.0.4606.71，以修补3个安全漏洞，其中并有两个已遭骇客开采。

此一紧急释出的新版Chrome修补了CVE-2021-37974、CVE-2021-37975与CVE-2021-37976。其中的CVE-2021-37974为安全浏览的释放后使用漏洞，CVE-2021-37975为V8的释放后使用者漏洞，CVE-2021-37976则是核心的资讯外泄漏洞。

Google也透露，坊间已出现了针对CVE-2021-37975及CVE-2021-37976漏洞的攻击程式，但只把细节提供给特定的资安社群。

这次Google修补的3个安全漏洞中，就有两个与释放后使用（Use After Free）有关，根据非营利组织Mitre所公布的2021年常见漏洞排行榜，释放后使用名列25个常见漏洞的第七名，当骇客在内存释出后引用它，可能造成程式当掉，也可用来执行任意程式。

Google将在未来几天或几周内陆续部署Chrome 94.0.4606.71至Windows、macOS与Linux等平台上，Chrome的预设值为自动更新，使用者亦可透过“关于Google Chrome”执行手动更新。